Zashk0/gha-buildrs-rce-poc
GitHub: Zashk0/gha-buildrs-rce-poc
针对 Rust 项目 CI 工作流中恶意 build.rs 导致 GitHub Actions 自托管 Runner 远程代码执行的授权概念验证。
Stars: 0 | Forks: 0
# gha-buildrs-rce-poc
授权的概念验证(Proof-of-concept),演示了在自托管 GitHub Actions runner 接管攻击中使用的 `build.rs` RCE 原语。
本仓库是为提交给 Immunefi 的针对具有相同工作流模式的第三方项目的漏洞赏金而发布的。从未触及任何生产基础设施。下面“窃取”的“secret”是在这个先私有后公开的测试仓库上设置的虚假标记值。
## 此 PoC 演示的模式
一个其 CI 工作流满足以下条件的仓库:
1. 在任何分支的 `pull_request` 上触发,且没有 actor 允许列表 (allowlist)
2. 在自托管 runner(或任何 runner)上运行
3. 对 PR head 代码调用 `cargo`(`cargo check`、`cargo test`、`cargo build` 等)
容易受到来自任何 pull request 的任意代码执行攻击,因为 Cargo 会无条件地执行每个 workspace crate 的 `build.rs` 构建脚本。构建脚本是普通的 Rust 二进制文件,没有沙箱。
## 布局
- `.github/workflows/ci-build.yml` 映射了测试目标工作流的触发器和 `cargo` 调用模式
- `Cargo.toml` 和 `src/lib.rs` 是一个简单的 library crate
- `attacker-poc` 分支添加了一个在 `cargo check` 期间运行的恶意 `build.rs`
## 复现步骤
1. Fork 或克隆此仓库
2. 查看 `attacker-poc` 分支:
标签:bug bounty, build.rs, Cargo, CI/CD安全, CISA项目, GitHub Actions, Immunefi, IP 地址批量处理, Llama, PoC, pull_request, RCE, Rust, 代码执行, 协议分析, 可视化界面, 恶意PR, 数据展示, 暴力破解, 权限提升, 沙箱逃逸, 环境变量泄露, 红队, 网络安全审计, 网络流量审计, 自动笔记, 自托管运行器, 通知系统