TravisCI Security
Last updated
Last updated
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Travis CI ni huduma ya kuendelea kuunganisha iliyohifadhiwa au kwenye premises inayotumika kujenga na kujaribu miradi ya programu iliyohifadhiwa kwenye jukwaa tofauti la git.
Basic TravisCI InformationIli kuanzisha shambulio, kwanza unahitaji kujua jinsi ya kuanzisha ujenzi. Kwa kawaida, TravisCI itafanya kuanzisha ujenzi kwenye push na maombi ya kuvuta:
Ikiwa una ufikiaji wa programu ya wavuti, unaweza kweka crons kuendesha ujenzi, hii inaweza kuwa muhimu kwa kudumu au kuanzisha ujenzi:
Inaonekana haiwezekani kuweka crons ndani ya .travis.yml
kulingana na hii.
TravisCI kwa kawaida inazima kushiriki mabadiliko ya mazingira na PRs zinazotoka kwa wahusika wengine, lakini mtu anaweza kuifanya iweze na kisha unaweza kuunda PRs kwa repo na kuhamasisha siri:
Kama ilivyoelezwa kwenye ukurasa wa taarifa za msingi, kuna aina 2 za siri. Siri za Mabadiliko ya Mazingira (ambazo ziko kwenye ukurasa wa wavuti) na siri za siri zilizowekwa, ambazo zimehifadhiwa ndani ya faili ya .travis.yml
kama base64 (kumbuka kwamba zote mbili kama zilivyo hifadhiwa kwa siri zitakuwa kama mabadiliko ya mazingira kwenye mashine za mwisho).
Ili kuhesabu siri zilizowekwa kama Mabadiliko ya Mazingira, nenda kwenye mipangilio ya mradi na angalia orodha. Hata hivyo, kumbuka kwamba mabadiliko yote ya mazingira ya mradi yaliyowekwa hapa yataonekana unapofanya ujenzi.
Ili kuhesabu siri za siri zilizowekwa, bora unachoweza kufanya ni kuangalia faili ya .travis.yml
.
Ili kuhesabu faili zilizowekwa, unaweza kuangalia kwa faili za .enc
kwenye repo, kwa mistari inayofanana na openssl aes-256-cbc -K $encrypted_355e94ba1091_key -iv $encrypted_355e94ba1091_iv -in super_secret.txt.enc -out super_secret.txt -d
kwenye faili ya usanidi, au kwa iv na funguo zilizowekwa katika Mabadiliko ya Mazingira kama:
Mfano wa ujenzi ukiwa na shell ya kurudi nyuma ikifanya kazi kwenye Windows/Mac/Linux
Mfano wa ujenzi ukivuja mabadiliko ya mazingira yaliyowekwa kwa base64 kwenye kumbukumbu
Ikiwa mshambuliaji atakutana na mazingira yanayotumia TravisCI enterprise (maelezo zaidi kuhusu nini hiki kwenye taarifa za msingi), atakuwa na uwezo wa kuanzisha ujenzi kwenye Worker. Hii inamaanisha kwamba mshambuliaji atakuwa na uwezo wa kuhamasisha kwa upande huo wa seva ambayo anaweza kuwa na uwezo wa:
kutoroka kwa mwenyeji?
kuathiri kubernetes?
kuathiri mashine nyingine zinazofanya kazi kwenye mtandao huo?
kuathiri akreditif mpya za wingu?
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)