Last updated
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jenkins è uno strumento che offre un metodo semplice per stabilire un ambiente di integrazione continua o consegna continua (CI/CD) per quasi qualsiasi combinazione di linguaggi di programmazione e repository di codice sorgente utilizzando pipeline. Inoltre, automatizza vari compiti di sviluppo di routine. Sebbene Jenkins non elimini la necessità di creare script per singoli passaggi, fornisce un modo più veloce e robusto per integrare l'intera sequenza di strumenti di build, test e deployment rispetto a quanto si possa facilmente costruire manualmente.
Basic Jenkins InformationPer cercare pagine Jenkins interessanti senza autenticazione come (/people o /asynchPeople, che elenca gli utenti attuali) puoi usare:
Controlla se puoi eseguire comandi senza necessitare di autenticazione:
Senza credenziali puoi guardare dentro il percorso /asynchPeople/ o /securityRealm/user/admin/search/index?q= per nomi utente.
Potresti essere in grado di ottenere la versione di Jenkins dal percorso /oops o /error
Nelle informazioni di base puoi controllare tutti i modi per accedere a Jenkins:
Basic Jenkins InformationSarai in grado di trovare istanze di Jenkins che ti permettono di creare un account e accedere al suo interno. Semplice come quello.
Inoltre, se la funzionalità/plugin SSO erano presenti, dovresti tentare di accedere all'applicazione utilizzando un account di test (ad es., un account di test Github/Bitbucket). Trucco da qui.
Jenkins manca di politiche sulle password e di mitigazione del brute-force sui nomi utente. È essenziale bruteforzare gli utenti poiché potrebbero essere in uso password deboli o nomi utente come password, anche nomi utente invertiti come password.
Usa questo script python o questo script powershell.
Molte organizzazioni combinano sistemi di gestione del controllo sorgente (SCM) basati su SaaS come GitHub o GitLab con una soluzione CI interna e self-hosted come Jenkins o TeamCity. Questa configurazione consente ai sistemi CI di ricevere eventi webhook dai fornitori di controllo sorgente SaaS, principalmente per attivare i lavori della pipeline.
Per ottenere ciò, le organizzazioni whitelistano i range IP delle piattaforme SCM, consentendo loro di accedere al sistema CI interno tramite webhook. Tuttavia, è importante notare che chiunque può creare un account su GitHub o GitLab e configurarlo per attivare un webhook, potenzialmente inviando richieste al sistema CI interno.
In questi scenari supponiamo che tu abbia un account valido per accedere a Jenkins.
A seconda del meccanismo di Autorizzazione configurato in Jenkins e dei permessi dell'utente compromesso, potresti essere in grado o meno di eseguire i seguenti attacchi.
Per ulteriori informazioni, controlla le informazioni di base:
Basic Jenkins InformationSe hai accesso a Jenkins, puoi elencare altri utenti registrati in http://127.0.0.1:8080/asynchPeople/
Usa questo script per dumpare le uscite della console delle build e le variabili d'ambiente delle build per trovare, si spera, segreti in chiaro.
Se l'utente compromesso ha sufficienti privilegi per creare/modificare un nuovo nodo Jenkins e le credenziali SSH sono già memorizzate per accedere ad altri nodi, potrebbe rubare quelle credenziali creando/modificando un nodo e impostando un host che registrerà le credenziali senza verificare la chiave dell'host:
Di solito troverai le credenziali ssh di Jenkins in un provider globale (/credentials/), quindi puoi anche estrarle come faresti con qualsiasi altro segreto. Maggiori informazioni nella sezione Dumping secrets.
Ottenere una shell nel server Jenkins offre all'attaccante l'opportunità di leakare tutti i segreti e le variabili d'ambiente e di sfruttare altre macchine situate nella stessa rete o persino raccogliere credenziali cloud.
Per impostazione predefinita, Jenkins gira come SYSTEM. Quindi, comprometterlo darà all'attaccante privilegi SYSTEM.
Creare/Modificare un progetto è un modo per ottenere RCE sul server Jenkins:
Jenkins RCE Creating/Modifying ProjectPuoi anche ottenere RCE eseguendo uno script Groovy, che potrebbe essere più furtivo rispetto alla creazione di un nuovo progetto:
Jenkins RCE with Groovy ScriptPuoi anche ottenere RCE creando/modificando una pipeline:
Jenkins RCE Creating/Modifying PipelinePer sfruttare le pipeline devi comunque avere accesso a Jenkins.
Le pipeline possono anche essere utilizzate come meccanismo di build nei progetti, in tal caso può essere configurato un file all'interno del repository che conterrà la sintassi della pipeline. Per impostazione predefinita viene utilizzato /Jenkinsfile:
È anche possibile memorizzare i file di configurazione della pipeline in altri luoghi (in altri repository, ad esempio) con l'obiettivo di separare l'accesso al repository e l'accesso alla pipeline.
Se un attaccante ha accesso in scrittura su quel file, sarà in grado di modificarlo e potenzialmente attivare la pipeline senza nemmeno avere accesso a Jenkins. È possibile che l'attaccante debba bypassare alcune protezioni dei branch (a seconda della piattaforma e dei privilegi dell'utente, potrebbero essere bypassate o meno).
I trigger più comuni per eseguire una pipeline personalizzata sono:
Pull request al branch principale (o potenzialmente ad altri branch)
Push al branch principale (o potenzialmente ad altri branch)
Aggiornare il branch principale e aspettare che venga eseguito in qualche modo
Se sei un utente esterno non dovresti aspettarti di creare una PR al branch principale del repo di un altro utente/organizzazione e attivare la pipeline... ma se è mal configurato potresti completamente compromettere aziende semplicemente sfruttando questo.
Nella precedente sezione RCE è già stata indicata una tecnica per ottenere RCE modificando una pipeline.
È possibile dichiarare variabili d'ambiente in chiaro per l'intera pipeline o per fasi specifiche. Queste variabili d'ambiente non dovrebbero contenere informazioni sensibili, ma un attaccante potrebbe sempre controllare tutte le configurazioni della pipeline/Jenkinsfile:
Per informazioni su come vengono solitamente trattati i segreti da Jenkins, controlla le informazioni di base:
Basic Jenkins InformationLe credenziali possono essere scoperta a fornitori globali (/credentials/) o a progetti specifici (/job/<project-name>/configure). Pertanto, per esfiltrare tutti, è necessario compromettere almeno tutti i progetti che contengono segreti ed eseguire pipeline personalizzate/contaminate.
C'è un altro problema, per ottenere un segreto all'interno dell'env di una pipeline è necessario conoscere il nome e il tipo del segreto. Ad esempio, se provi a caricare un segreto usernamePassword come un segreto string otterrai questo errore:
Ecco come caricare alcuni tipi di segreti comuni:
Alla fine di questa pagina puoi trovare tutti i tipi di credenziali: https://www.jenkins.io/doc/pipeline/steps/credentials-binding/
Il modo migliore per estrarre tutti i segreti in una volta è compromettere la macchina Jenkins (eseguendo una reverse shell nel nodo integrato, ad esempio) e poi leakare le chiavi master e i segreti crittografati e decrittografarli offline. Maggiori informazioni su come farlo nella sezione Nodes & Agents e nella sezione Post Exploitation.
Dalla documentazione: La direttiva triggers definisce i modi automatizzati in cui il Pipeline dovrebbe essere riattivato. Per i Pipeline che sono integrati con una sorgente come GitHub o BitBucket, triggers potrebbe non essere necessario poiché l'integrazione basata su webhook sarà probabilmente già presente. I trigger attualmente disponibili sono cron, pollSCM e upstream.
Esempio di Cron:
Controlla altri esempi nella documentazione.
Un istanza di Jenkins potrebbe avere diversi agenti in esecuzione su macchine diverse. Da una prospettiva di attaccante, l'accesso a diverse macchine significa diverse potenziali credenziali cloud da rubare o diverso accesso alla rete che potrebbe essere abusato per sfruttare altre macchine.
Per ulteriori informazioni, controlla le informazioni di base:
Basic Jenkins InformationPuoi enumerare i nodi configurati in /computer/, di solito troverai il Built-In Node (che è il nodo che esegue Jenkins) e potenzialmente di più:
È particolarmente interessante compromettere il nodo Built-In perché contiene informazioni sensibili di Jenkins.
Per indicare che vuoi eseguire il pipeline nel nodo Jenkins integrato, puoi specificare all'interno del pipeline la seguente configurazione:
Pipeline in un agente specifico, con un trigger cron, con variabili d'ambiente per la pipeline e lo stage, caricando 2 variabili in un passo e inviando una reverse shell:
Puoi elencare i segreti accedendo a /credentials/ se hai abbastanza permessi. Tieni presente che questo elencherà solo i segreti all'interno del file credentials.xml, ma i file di configurazione della build potrebbero avere anche ulteriori credenziali.
Se puoi vedere la configurazione di ciascun progetto, puoi anche vedere lì i nomi delle credenziali (segreti) utilizzati per accedere al repository e altre credenziali del progetto.
Questi file sono necessari per decriptare i segreti di Jenkins:
secrets/master.key
secrets/hudson.util.Secret
Tali segreti possono solitamente essere trovati in:
credentials.xml
jobs/.../build.xml
jobs/.../config.xml
Ecco una regex per trovarli:
Se hai estratto le password necessarie per decrittare i segreti, usa questo script per decrittare quei segreti.
Accedi al file Jenkins config.xml in /var/lib/jenkins/config.xml o C:\Program Files (x86)\Jenkins\
Cerca la parola <useSecurity>true</useSecurity> e cambia la parola true in false.
sed -i -e 's/<useSecurity>true</<useSecurity>false</g' config.xml
Riavvia il server Jenkins: service jenkins restart
Ora vai di nuovo al portale Jenkins e Jenkins non chiederà alcuna credenziale questa volta. Naviga su "Gestisci Jenkins" per impostare di nuovo la password dell'amministratore.
Abilita di nuovo la sicurezza cambiando le impostazioni in <useSecurity>true</useSecurity> e riavvia di nuovo Jenkins.
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
