[Writeup][CTF][GitHub] Privilege Escalation on GitHub Action
Bulan Maret 2021, GitHub mengadakan security competition, yaitu Capture The Flag yang menjadikan Github Action Workflow sebagai tantangannya. Peserta diberikan sebuah repositori pribadi yang berisi sebuah Github Action Workflow dan file Readme yang hanya memiliki akses baca atau pull saja. Tujuan dari tantangan ini yaitu peserta diharuskan melakukan update file di repositori tersebut. Problem name: log and process issue comments on: issue_comment: types: [created] jobs: issue_comment: name: log issue comment runs-on: ubuntu-latest steps: - id: comment_log name: log issue comment uses: actions/github-script@v3 env: COMMENT_BODY: ${{ github....