AWS - CodeBuild Post Exploitation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
For more information, check:
If credentials have been set in Codebuild to connect to Github, Gitlab or Bitbucket in the form of personal tokens, passwords or OAuth token access, these облікові дані будуть зберігатися як секрети в менеджері секретів. Therefore, if you have access to read the secret manager you will be able to get these secrets and pivot to the connected platform.
In order to configure CodeBuild, it will need доступ до репозиторію коду, який він буде використовувати. Several platforms could be hosting this code:
The проект CodeBuild повинен мати доступ до налаштованого постачальника джерела, або через IAM роль, або з токеном github/bitbucket або доступом OAuth.
An attacker with elevated permissions in over a CodeBuild could abuse this configured access to leak the code of the configured repo and others where the set creds have access. In order to do this, an attacker would just need to змінити URL репозиторію на кожен репозиторій, до якого мають доступ налаштовані облікові дані (note that the aws web will list all of them for you):
And змінити команди Buildspec для ексфільтрації кожного репозиторію.
However, this task is repetitive and tedious and if a github token was configured with write permissions, an attacker won't be able to (ab)use those permissions as he doesn't have access to the token. Or does he? Check the next section
You can leak access given in CodeBuild to platforms like Github. Check if any access to external platforms was given with:
codebuild:DeleteProject
Зловмисник може видалити цілий проект CodeBuild, що призведе до втрати конфігурації проекту та вплине на програми, які покладаються на цей проект.
Потенційний вплив: Втрата конфігурації проекту та порушення роботи для додатків, що використовують видалений проект.
codebuild:TagResource
, codebuild:UntagResource
Зловмисник може додавати, змінювати або видаляти теги з ресурсів CodeBuild, порушуючи політики розподілу витрат, відстеження ресурсів та контролю доступу вашої організації на основі тегів.
Потенційний вплив: Порушення розподілу витрат, відстеження ресурсів та політик контролю доступу на основі тегів.
codebuild:DeleteSourceCredentials
Зловмисник може видалити облікові дані джерела для репозиторію Git, що вплине на нормальне функціонування додатків, які покладаються на репозиторій.
Потенційний вплив: Порушення нормального функціонування додатків, що залежать від ураженого репозиторію, через видалення облікових даних джерела.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)