HackTricks CloudTravisCI Usalama
Reading time: 4 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Nini maana ya TravisCI
Travis CI ni huduma ya kuendelea kuunganisha inayoweza kuwa imehifadhiwa au kwenye premises inayotumika kujenga na kujaribu miradi ya programu iliyohifadhiwa kwenye jukwaa tofauti la git.
Mashambulizi
Vichocheo
Ili kuanzisha shambulizi, kwanza unahitaji kujua jinsi ya kuanzisha ujenzi. Kwa kawaida, TravisCI itafanya kuanzisha ujenzi kwenye push na ombi la kuvuta:
.png)
Kazi za Cron
Ikiwa una ufikiaji wa programu ya wavuti, unaweza kweka kazi za cron kuendesha ujenzi, hii inaweza kuwa muhimu kwa kudumu au kuanzisha ujenzi:
.png)
note
Inaonekana haiwezekani kuweka kazi za cron ndani ya .travis.yml kulingana na hii.
PR za Watu wa Tatu
TravisCI kwa kawaida inazima kushiriki mabadiliko ya mazingira na PR zinazotoka kwa watu wa tatu, lakini mtu anaweza kuziwezesha na kisha unaweza kuunda PR kwa repo na kuhamasisha siri:
.png)
Kutupa Siri
Kama ilivyoelezwa kwenye ukurasa wa taarifa za msingi, kuna aina 2 za siri. Siri za Mabadiliko ya Mazingira (ambazo ziko kwenye ukurasa wa wavuti) na siri za siri zilizowekwa, ambazo zimehifadhiwa ndani ya faili ya .travis.yml kama base64 (kumbuka kwamba zote zikiwa zimehifadhiwa kwa siri zitakuwa kama mabadiliko ya mazingira kwenye mashine za mwisho).
- Ili kuhesabu siri zilizowekwa kama Mabadiliko ya Mazingira, nenda kwenye mipangilio ya mradi na angalia orodha. Hata hivyo, kumbuka kwamba mabadiliko yote ya mazingira ya mradi yaliyowekwa hapa yataonekana unapofanya ujenzi.
- Ili kuhesabu siri za siri zilizowekwa, bora unachoweza kufanya ni kuangalia faili ya
.travis.yml. - Ili kuhesabu faili za siri zilizowekwa, unaweza kuangalia kwa faili za
.enckwenye repo, kwa mistari inayofanana naopenssl aes-256-cbc -K $encrypted_355e94ba1091_key -iv $encrypted_355e94ba1091_iv -in super_secret.txt.enc -out super_secret.txt -dkwenye faili ya usanidi, au kwa iv na funguo zilizowekwa katika Mabadiliko ya Mazingira kama:
.png)
TODO:
- Mfano wa ujenzi ukiwa na shell ya nyuma ikifanya kazi kwenye Windows/Mac/Linux
- Mfano wa ujenzi ukivuja mabadiliko ya mazingira yaliyowekwa kwa base64 kwenye kumbukumbu
TravisCI Enterprise
Ikiwa mshambuliaji atakutana na mazingira yanayotumia TravisCI enterprise (maelezo zaidi kuhusu hii kwenye taarifa za msingi), atakuwa na uwezo wa kuanzisha ujenzi kwenye Mfanyakazi. Hii inamaanisha kwamba mshambuliaji ataweza kuhamasisha kwa upande wa server hiyo kutoka ambayo anaweza:
- kutoroka kwa mwenyeji?
- kuathiri kubernetes?
- kuathiri mashine nyingine zinazofanya kazi kwenye mtandao huo?
- kuathiri akreditivu mpya za wingu?
Marejeleo
- https://docs.travis-ci.com/user/encrypting-files/
- https://docs.travis-ci.com/user/best-practices-security
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.