AWS - CodeBuild Pós-Exploração

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

CodeBuild

Para mais informações, confira:

AWS - Codebuild Enum

Verificar Segredos

Se credenciais foram configuradas no Codebuild para conectar ao Github, Gitlab ou Bitbucket na forma de personal tokens, senhas ou OAuth token access, essas credenciais vão ser armazenadas como secrets no secret manager.
Portanto, se você tem acesso de leitura ao secret manager, poderá obter esses segredos e pivotar para a plataforma conectada.

AWS - Secrets Manager Privesc

Abusar do Acesso ao Repositório do CodeBuild

Para configurar o CodeBuild, ele precisará de acesso ao repositório de código que vai usar. Várias plataformas podem hospedar esse código:

O projeto CodeBuild deve ter acesso ao provedor de origem configurado, seja via IAM role ou com um github/bitbucket token or OAuth access.

Um atacante com permissões elevadas sobre um CodeBuild poderia abusar desse acesso configurado para leak o código do repositório configurado e de outros onde as credenciais configuradas tenham acesso.
Para fazer isso, o atacante precisa apenas mudar a URL do repositório para cada repo que as credenciais de configuração têm acesso (observe que a interface do aws listará todos eles para você):

E alterar os Buildspec commands para exfiltrate cada repo.

Warning

Entretanto, essa tarefa é repetitiva e tediosa e se um github token foi configurado com permissões de escrita, um atacante não conseguirá (ab)usar essas permissões pois ele não tem acesso ao token.
Ou será que tem? Confira a próxima seção

Leaking Access Tokens from AWS CodeBuild

Você pode leak access concedido no CodeBuild para plataformas como Github. Verifique se algum acesso a plataformas externas foi concedido com:

aws codebuild list-source-credentials

AWS Codebuild - Token Leakage

Execução de PR não confiável por misconfiguração do filtro do webhook

Se os filtros de webhook forem fracos, atacantes externos podem fazer com que seus PRs sejam construídos em projetos CodeBuild privilegiados e então executar código arbitrário no CI.

AWS CodeBuild - Untrusted PR Webhook Bypass (CodeBreach-style)

codebuild:DeleteProject

Um atacante poderia excluir um projeto CodeBuild inteiro, causando perda da configuração do projeto e impactando aplicações que dependem dele.

aws codebuild delete-project --name <value>

Impacto Potencial: Perda da configuração do projeto e interrupção do serviço para aplicações que usam o projeto excluído.

codebuild:TagResource , codebuild:UntagResource

Um atacante poderia adicionar, modificar ou remover tags de recursos do CodeBuild, prejudicando a alocação de custos da sua organização, o rastreamento de recursos e as políticas de controle de acesso baseadas em tags.

aws codebuild tag-resource --resource-arn <value> --tags <value>
aws codebuild untag-resource --resource-arn <value> --tag-keys <value>

Impacto Potencial: Interrupção na alocação de custos, no rastreamento de recursos e em políticas de controle de acesso baseadas em tags.

codebuild:DeleteSourceCredentials

Um atacante poderia excluir credenciais de origem de um repositório Git, afetando o funcionamento normal de aplicações que dependem desse repositório.

aws codebuild delete-source-credentials --arn <value>

Impacto Potencial: Interrupção do funcionamento normal de aplicações que dependem do repositório afetado devido à remoção das credenciais de origem.

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks