Concourse Enumeration & Attacks
Enumeração e Ataques ao Concourse
Funções de Usuário e Permissões
O Concourse vem com cinco funções:
Concourse Admin: Esta função é atribuída apenas aos proprietários da equipe principal (equipe inicial padrão do Concourse). Os administradores podem configurar outras equipes (por exemplo:
fly set-team
,fly destroy-team
...). As permissões desta função não podem ser afetadas pelo RBAC.owner: Os proprietários da equipe podem modificar tudo dentro da equipe.
member: Os membros da equipe podem ler e escrever nos ativos da equipe, mas não podem modificar as configurações da equipe.
pipeline-operator: Os operadores de pipeline podem realizar operações de pipeline como acionar builds e fixar recursos, no entanto, não podem atualizar as configurações do pipeline.
viewer: Os visualizadores da equipe têm acesso "somente leitura" a uma equipe e seus pipelines.
Além disso, as permissões das funções owner, member, pipeline-operator e viewer podem ser modificadas configurando o RBAC (configurando mais especificamente suas ações). Leia mais sobre isso em: https://concourse-ci.org/user-roles.html
Observe que o Concourse agrupa pipelines dentro de Equipes. Portanto, os usuários pertencentes a uma Equipe poderão gerenciar esses pipelines e várias Equipes podem existir. Um usuário pode pertencer a várias Equipes e ter permissões diferentes dentro de cada uma.
Vars e Gerenciador de Credenciais
Nos arquivos YAML, você pode configurar valores usando a sintaxe ((_source-name_:_secret-path_._secret-field_))
.
A partir da documentação: O nome da fonte é opcional, e se omitido, o gerenciador de credenciais em todo o cluster será usado, ou o valor pode ser fornecido estaticamente.
O campo opcional _secret-field_ especifica um campo no segredo obtido para leitura. Se omitido, o gerenciador de credenciais pode optar por ler um 'campo padrão' do credencial obtido se o campo existir.
Além disso, o secret-path e secret-field podem ser cercados por aspas duplas "..."
se eles contiverem caracteres especiais como .
e :
. Por exemplo, ((source:"my.secret"."field:1"))
definirá o secret-path como my.secret
e o secret-field como field:1
.
Vars Estáticos
Vars estáticos podem ser especificados em etapas de tarefas:
Ou usando os seguintes argumentos fly
:
-v
ou--var
NOME=VALOR
define a stringVALOR
como o valor para a variávelNOME
.-y
ou--yaml-var
NOME=VALOR
analisaVALOR
como YAML e define-o como o valor para a variávelNOME
.-i
ou--instance-var
NOME=VALOR
analisaVALOR
como YAML e define-o como o valor para a variável de instânciaNOME
. Consulte Agrupamento de Pipelines para saber mais sobre variáveis de instância.-l
ou--load-vars-from
ARQUIVO
carregaARQUIVO
, um documento YAML contendo mapeamento de nomes de variáveis e valores, e define todos eles.
Gerenciamento de Credenciais
Existem diferentes maneiras de especificar um Gerenciador de Credenciais em uma pipeline, leia como em https://concourse-ci.org/creds.html. Além disso, o Concourse suporta diferentes gerenciadores de credenciais:
Observe que se você tiver algum tipo de acesso de escrita ao Concourse, você pode criar jobs para extrair esses segredos já que o Concourse precisa ser capaz de acessá-los.
Enumeração do Concourse
Para enumerar um ambiente do Concourse, primeiro você precisa reunir credenciais válidas ou encontrar um token autenticado provavelmente em um arquivo de configuração .flyrc
.
Login e enumeração do usuário atual
Para fazer login, você precisa saber o endpoint, o nome da equipe (o padrão é
main
) e uma equipe à qual o usuário pertence:fly --target exemplo login --team-name minha-equipe --concourse-url https://ci.exemplo.com [--inseguro] [--client-cert=./caminho --client-key=./caminho]
Obter alvos configurados:
fly targets
Verificar se a conexão do alvo configurado ainda é válida:
fly -t <alvo> status
Obter função do usuário em relação ao alvo indicado:
fly -t <alvo> userinfo
Observe que o token da API é salvo em $HOME/.flyrc
por padrão, ao saquear máquinas você pode encontrar lá as credenciais.
Equipes e Usuários
Obter uma lista das Equipes
fly -t <alvo> teams
Obter funções dentro da equipe
fly -t <alvo> get-team -n <nome-da-equipe>
Obter uma lista de usuários
fly -t <alvo> active-users
Pipelines
Listar pipelines:
fly -t <alvo> pipelines -a
Obter o yaml da pipeline (informações sensíveis podem ser encontradas na definição):
fly -t <alvo> get-pipeline -p <nome-da-pipeline>
Obter todas as variáveis de configuração da pipeline
for nomepip in $(fly -t <alvo> pipelines | grep -Ev "^id" | awk '{print $2}'); do echo $nomepip; fly -t <alvo> get-pipeline -p $nomepip -j | grep -Eo '"vars":[^}]+'; done
Obter todos os nomes de segredos das pipelines usados (se você puder criar/modificar um job ou sequestrar um contêiner, você poderia extrai-los):
Contentores e Trabalhadores
Listar trabalhadores:
fly -t <target> workers
Listar contentores:
fly -t <target> containers
Listar construções (para ver o que está em execução):
fly -t <target> builds
Ataques ao Concourse
Força Bruta de Credenciais
admin:admin
test:test
Enumeração de Segredos e Parâmetros
Na seção anterior, vimos como você pode obter todos os nomes de segredos e variáveis usados pelo pipeline. As variáveis podem conter informações sensíveis e o nome dos segredos será útil mais tarde para tentar roubá-los.
Sessão dentro de um contentor em execução ou executado recentemente
Se você tiver privilégios suficientes (função de membro ou superior), poderá listar pipelines e funções e simplesmente obter uma sessão dentro do contentor <pipeline>/<job>
usando:
Com essas permissões, você pode ser capaz de:
Roubar os segredos dentro do container
Tentar escapar para o nó
Enumerar/Abusar do endpoint de metadados da nuvem (do pod e do nó, se possível)
Criação/Modificação de Pipeline
Se você tiver privilégios suficientes (função de membro ou superior), poderá criar/modificar novos pipelines. Confira este exemplo:
Com a modificação/criação de um novo pipeline, você será capaz de:
Roubar os segredos (via ecoando-os ou entrando no contêiner e executando
env
)Escapar para o nó (dando privilégios suficientes -
privileged: true
)Enumerar/Abusar do endpoint de metadados da nuvem (do pod e do nó)
Excluir o pipeline criado
Executar Tarefa Personalizada
Isso é semelhante ao método anterior, mas em vez de modificar/criar um novo pipeline completo, você pode apenas executar uma tarefa personalizada (que provavelmente será muito mais discreta):
Escapando para o nó a partir da tarefa privilegiada
Nas seções anteriores, vimos como executar uma tarefa privilegiada com o concourse. Isso não dará ao contêiner exatamente o mesmo acesso que a flag privilegiada em um contêiner docker. Por exemplo, você não verá o dispositivo de sistema de arquivos do nó em /dev, então a fuga pode ser mais "complexa".
No seguinte PoC, vamos usar o release_agent para escapar com algumas pequenas modificações:
Como você pode ter notado, isso é apenas um escape de release_agent regular modificando o caminho do cmd no nó
Escapando para o nó a partir de um contêiner de Trabalhador
Um escape de release_agent regular com uma pequena modificação é suficiente para isso:
Escapando para o nó a partir do contêiner da Web
Mesmo que o contêiner da web tenha algumas defesas desativadas, ele não está sendo executado como um contêiner privilegiado comum (por exemplo, você não pode montar e as capacidades são muito limitadas, então todas as maneiras fáceis de escapar do contêiner são inúteis).
No entanto, ele armazena credenciais locais em texto claro:
Você pode usar essas credenciais para fazer login no servidor web e criar um contêiner privilegiado e escapar para o nó.
No ambiente, você também pode encontrar informações para acessar a instância do postgresql que o concourse utiliza (endereço, nome de usuário, senha e banco de dados, entre outras informações):
Abusando do Serviço Garden - Não é um Ataque Real
Estas são apenas algumas notas interessantes sobre o serviço, mas como ele está apenas ouvindo em localhost, essas notas não terão nenhum impacto que já não tenhamos explorado antes.
Por padrão, cada worker do Concourse estará executando um serviço Garden na porta 7777. Este serviço é usado pelo mestre da Web para indicar ao worker o que ele precisa executar (baixar a imagem e executar cada tarefa). Isso parece muito bom para um atacante, mas existem algumas proteções interessantes:
Ele está apenas exposto localmente (127.0.0.1) e eu acredito que quando o worker se autentica novamente na Web com o serviço SSH especial, um túnel é criado para que o servidor web possa conversar com cada serviço Garden dentro de cada worker.
O servidor web está monitorando os containers em execução a cada poucos segundos, e os containers inesperados são excluídos. Portanto, se você quiser executar um container personalizado, você precisa interferir na comunicação entre o servidor web e o serviço Garden.
Os workers do Concourse são executados com altos privilégios de container:
No entanto, técnicas como montar o dispositivo /dev do nó ou release_agent não funcionarão (pois o dispositivo real com o sistema de arquivos do nó não é acessível, apenas um virtual). Não podemos acessar os processos do nó, então escapar do nó sem exploits de kernel se torna complicado.
Na seção anterior, vimos como escapar de um contêiner privilegiado, então se pudermos executar comandos em um contêiner privilegiado criado pelo trabalhador atual, poderíamos escapar para o nó.
Observe que brincando com o Concourse, notei que quando um novo contêiner é iniciado para executar algo, os processos do contêiner são acessíveis a partir do contêiner do trabalhador, então é como se um contêiner criasse um novo contêiner dentro dele.
Entrando em um contêiner privilegiado em execução
Criando um novo contêiner privilegiado
Você pode facilmente criar um novo contêiner (apenas execute um UID aleatório) e executar algo nele:
No entanto, o servidor web verifica a cada poucos segundos os containers em execução e, se um inesperado for descoberto, ele será excluído. Como a comunicação ocorre em HTTP, você poderia manipular a comunicação para evitar a exclusão de containers inesperados:
Referências
https://concourse-ci.org/vars.html
Última actualización