AWS - Codepipeline Privesc
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Para mais informações sobre codepipeline, confira:
iam:PassRole
, codepipeline:CreatePipeline
, codebuild:CreateProject, codepipeline:StartPipelineExecution
Ao criar um code pipeline, você pode indicar um IAM Role do codepipeline para executar, portanto, você poderia comprometê-los.
Além das permissões anteriores, você precisaria de acesso ao local onde o código está armazenado (S3, ECR, github, bitbucket...)
Eu testei isso realizando o processo na página da web, as permissões indicadas anteriormente não são as List/Get necessárias para criar um codepipeline, mas para criá-lo na web você também precisará de: codebuild:ListCuratedEnvironmentImages, codebuild:ListProjects, codebuild:ListRepositories, codecommit:ListRepositories, events:PutTargets, codepipeline:ListPipelines, events:PutRule, codepipeline:ListActionTypes, cloudtrail:<vários>
Durante a criação do projeto de build, você pode indicar um comando para executar (rev shell?) e executar a fase de build como usuário privilegiado, essa é a configuração que o atacante precisa para comprometer:
codebuild:UpdateProject, codepipeline:UpdatePipeline, codepipeline:StartPipelineExecution
Pode ser possível modificar o papel usado e o comando executado em um codepipeline com as permissões anteriores.
codepipeline:pollforjobs
Quando esta API é chamada, o CodePipeline retorna credenciais temporárias para o bucket S3 usado para armazenar artefatos para o pipeline, se a ação requer acesso a esse bucket S3 para artefatos de entrada ou saída. Esta API também retorna quaisquer valores secretos definidos para a ação.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)