安全研究 | Jenkins 任意文件讀取漏洞分析

本文轉載自查看原文 2018-07-31 17:36 1713 程序員/ 漏洞/ 安全/ jenkins/ 雲計算

歡迎大家前往騰訊雲+社區，獲取更多騰訊海量技術實踐干貨哦~

本文由雲鼎實驗室發表於雲+社區專欄

一、漏洞背景

漏洞編號：CVE-2018-1999002

漏洞等級：高危

Jenkins 7 月 18 日的安全通告修復了多個漏洞，其中 SECURITY-914 是由 Orange （博客鏈接：http://blog.orange.tw/）挖出的 Jenkins 未授權任意文件讀取漏洞。

騰訊安全雲鼎實驗室安全研究人員對該漏洞進行分析發現，利用這個漏洞，攻擊者可以讀取 Windows 服務器上的任意文件，對於 Linux，在特定條件下也可以進行文件讀取。利用文件讀取漏洞，攻擊者可以獲取到 Jenkins 的憑證信息，從而造成敏感信息泄露。另外，在很多時候，Jenkins 的部分憑證和其內用戶的帳號密碼相同，獲取到憑證信息后也可以直接登錄 Jenkins 進行命令執行操作等。

二、漏洞分析

Jenkins 在處理請求的時候是通過 Stapler 進行處理的，Stapler 是一個 Java Web 框架。查看 web.xml 可知，Stapler 攔截了所有請求：

單步跟入 hudson.util.PluginServletFilter，最后會跟到 jenkins\core\src\main\java\hudson\Plugin.java 的 doDynamic 方法：

可以發現，Jenkins 在 serve /plugin/SHORTNAME 這個 URL 的時候，調用的是 StaplerResponse 的 serveLocalizedFile 方法處理靜態文件的，繼續跟入這個方法：

其中 request.getLocale() 是 jetty-server-9.4.5.v20170502-sources.jar!\org\eclipse\jetty\server\Request.java 內的，其實現為：

非常明顯，Jetty 在獲取 Locale 的時候直接從 HTTP Headers 里取出 Accept-Language 頭，用 - 分割后返回了一個 Locale 對象。也就是我傳入Accept-Language: ../../../aaaa-bbbbbb 時，那么我將會得到一個 Locale("../../../aaaa", "BBBBBB")對象。

最后到跟入 stapler-1.254-sources.jar!\org\kohsuke\stapler\Stapler.java：

我們可以發現，Stapler 首先將后綴名單獨取出，接着將 Jenkins 目錄和傳入的 locale 的 language 以及后綴名拼接，然后打開這個路徑。那么攻擊者只需要構造出如下 HTTP 請求即可造成文件讀取：

最后 URL 拼接的現場為：

在 Windows 下，不存在的目錄可以通過 ../ 遍歷過去的，而對於 Linux 則不行。那么這個漏洞在 Windows 下是可以任意文件讀取的，而在 Linux 下則需要在 Jenkins plugins 目錄下存在一個名字中存在 _ 的目錄才可以。

三、利用方式

一般來說，文件讀取漏洞很難轉化為命令執行，對於 Jenkins 也是如此。不過 Jenkins 有一個 Credentials 模塊，這個模塊儲存了 Jenkins 的一些憑證信息，很多時候，其憑證的帳號密碼是和 Jenkins 的帳號密碼相同的。無論如何，在成功利用文件讀取漏洞后，都要將憑證信息讀取並解密，以收集更多的信息。

如果我們想獲取 Jenkins 的憑證信息的話，需要以下幾個文件：

· credentials.xml

· secrets/hudson.util.Secret

· secrets/master.key

很幸運的是這幾個文件我們都可以利用文件讀取漏洞讀取出來。在 Shodan 上嘗試獲取國外 real world 的 Jenkins 的帳號密碼：