TravisCI Security

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikionekana kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa kipekee wa NFTs
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

TravisCI Ni Nini

Travis CI ni huduma ya usambazaji wa kiotomatiki iliyohifadhiwa au kwenye eneo la ndani inayotumiwa kujenga na kujaribu miradi ya programu iliyohifadhiwa kwenye majukwaa kadhaa tofauti ya git.

pageBasic TravisCI Information

Mashambulizi

Vichocheo

Ili kuanzisha shambulizi kwanza unahitaji kujua jinsi ya kuanzisha ujenzi. Kwa chaguo-msingi, TravisCI ita anzisha ujenzi kwenye itumie na maombi ya kuvuta:

Kazi za Cron

Ikiwa una ufikiaji kwenye programu ya wavuti unaweza kuweka kazi za cron kutekeleza ujenzi, hii inaweza kuwa na manufaa kwa uthabiti au kuanzisha ujenzi:

Inaonekana kama haiwezekani kuweka kazi za cron ndani ya .travis.yml kulingana na hii.

PR ya Tatu

TravisCI kwa chaguo-msingi inazuia kushiriki vichocheo vya mazingira na PR zinazotoka kwa wahusika wa tatu, lakini mtu anaweza kuwezesha na kisha unaweza kuunda PR kwa repo na kuchota siri:

Kudondosha Siri

Kama ilivyoelezwa katika ukurasa wa taarifa za msingi, kuna aina 2 za siri. Siri za Mazingira (ambazo zinaorodheshwa kwenye ukurasa wa wavuti) na siri zilizoandikwa kwa msimbaji maalum, ambazo zimehifadhiwa ndani ya faili ya .travis.yml kama base64 (kumbuka kuwa zote zilizohifadhiwa kwa msimbaji zitaishia kama vichocheo vya mazingira kwenye mashine za mwisho).

Ili kuorodhesha siri zilizoconfigure kama Vichocheo vya Mazingira nenda kwa vipimo vya mradi na angalia orodha. Walakini, kumbuka kuwa vichocheo vyote vya mazingira vya mradi vilivyowekwa hapa vitatokea wakati wa kuanzisha ujenzi.
Ili kuorodhesha siri zilizoandikwa kwa msimbaji maalum bora unaweza kufanya ni kuangalia faili ya .travis.yml.
Ili kuorodhesha faili zilizoandikwa kwa msimbaji unaweza kuangalia kwa faili za .enc kwenye repo, kwa mistari inayofanana na openssl aes-256-cbc -K $encrypted_355e94ba1091_key -iv $encrypted_355e94ba1091_iv -in super_secret.txt.enc -out super_secret.txt -d kwenye faili ya usanidi, au kwa iv na funguo zilizoandikwa kwenye Vichocheo vya Mazingira kama:

KAZI ZIJAZO:

Ujenzi wa mfano na kifaa cha kugeuza kwenye Windows/Mac/Linux
Ujenzi wa mfano unaovuja msingi wa mazingira ulioandikwa kwa base64 kwenye magogo

TravisCI Enterprise

Ikiwa mshambuliaji anamaliza katika mazingira ambayo hutumia TravisCI enterprise (maelezo zaidi kuhusu hii yapo kwenye taarifa za msingi), ataweza kuanzisha ujenzi kwenye Mfanyikazi. Hii inamaanisha kwamba mshambuliaji ataweza kusonga kwa upande kwenye seva hiyo ambayo anaweza kuwa na uwezo wa:

kutoroka kwa mwenyeji?
kudhoofisha kubernetes?
kudhoofisha mashine zingine zinazoendesha kwenye mtandao huo huo?
kudhoofisha vibali vipya vya wingu?

Marejeo

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikionekana kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa kipekee wa NFTs
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousCircleCI Security NextBasic TravisCI Information

Last updated 1 month ago