본문 바로가기
cert

jenkins login 페이지 스캔

secujordan 2021. 3. 1. 18:36

어느 사이트에서의 /jenkins/login 스캔 공격이 확인되었습니다.

요청 패킷은 별다른 내용은 없었구요 단순 

GET /jenkins/login 접근이었습니다.

너무 빈번하게 들어오는 것 같아 서치해보기로 했습니다.

 

jenkins가 무엇일까요.. 서치해보았습니다.

 

출처 : 구글 검색

소프트웨어 개발할때 쓰는 툴이라고 하네요.. 코드를 통합관리할때 쓰는것 같은데 git이랑 비슷한것같네요..

졸업작품할때 git으로 팀원들과 같이 작업하다가 한명이 코드를 모르고 날려서 ... 사용이 익숙하지 않아 복구가 힘들었던 기억이 납니다 ㅎㅎ.. 아마 그렇게 통합해서 여러 개발자가 코드를 같이 공유할 수 있도록 하는것 같아요.

하여 jenkins 툴을 이용하여 개발한 사이트에 기본 로그인 경로를 사용하는 페이지를 스캔하는 것으로 추정됩니다.

 

jenkins를 이용한 공격이 kali에서도 있나 한번 봐보겠습니다.

아주 많은 것 같네요.. 그중에 jenkins_login exploit이 끌립니다.

과연 /jenkins/login 경로 접근을 시도했던 exploit은 해당 exploit으로의 시도였을까요.. 아니면 다른 exploit에서 jenkins 사용여부를 체크하는 과정에서 던진 패킷이었을까요..어쨌든 해당 exploit 을 살펴보도록 합시다.

 

 

해당 exploit을 살펴봤을때는 패스워드와 유저 정보를 포함시키는 것으로 보니 스캔성 공격이라기보단 Brute Force 공격일 가능성이 많아보입니다.

한번 login 페이지를 체크하는 인자값은 어떤지 확인해보겠습니다.

 

공격에 필요한 인자값이 꽤 많네요 대부분이 기입되어 있어 어떨지는 모르겠으나... 일단 login check하는 URL은 /jenkins/login이 아닌 /j_acegi_security_check 인 것으로 확인되네요. 공격자 의도가 Brute Force 공격이었다면 LOGIN_URL 인자값을 /jenkins/login으로 수정 후 공격한 것은 아닐까 추론만 해봅니다..한번 시도해봅시다.

 

일단 login URL을 /jenkins/login으로 변경 후 나머지 인자값을 넣어줘 봅시다. RHOST에 제 CentOS IP를 기입했고, RPORT엔 해당 서버가 쓰고있는 80을 넣었습니다. USERNAME값과 PASSWORD 값은 그냥 root에 1234로 했습니다.(파일로 지정하면 Brute Force가 되겠지만 저는 로그만 보고싶기 때문에..)

로그가 어떻게 남는지 테스트 해볼까요

뭔가 시도가 많긴 했네요..  Session 연결 후 설정되어있는 메소드인 Post 방식으로 /jenkins/login으로 제대로 요청패킷을 보낸게 확인됩니다. 요청패킷을 제대로 까봅시다.

 

 

 

요청패킷을 확인했을 때는 j_username과 j_passowrd이 같이 추가되네요 그렇다면 제가보았던 공격은 해당 exploit으로 동작한 것은 아닌것 같습니다. 단순 /jenkins/login 경로접근이외에 패러미터값에서의 특이값은 확인되지 않았거든요..

 

제 칼리에서 있는 jenkins 관련 exploit에 기본 체크 URL을 확인해보았으나, /jenkins/login으로 URL 체크를 하는 Exploit은 없었습니다.

 

아마 다른 툴에서의 jenkins 로그인페이지 접근스캔성 공격이거나 체크하는 과정이 탐지된 것이겠네요...

 

아무튼 단순 스캔성 공격으로 공격 영향성을 따지기엔 좀 이상하겠지만 개발시 jenkins를 사용하지 않는다면 단순 dummy data 일 것으로 판단됩니다... 굳이 룰을 걸자면 /jenkins/login으로의 접근을 차단하면 되겠네요. 그리고 실제 Brute Force에 이용될 수 있는  /j_acegi_security_check 경로도 사용하지 않는다면 차단으로...그리고 굳이 default 로그인 경로를 쓰지는 않아도 될것 같네요..

 

우선 이번꺼는 여기까지...

 

참조ko.wikipedia.org/wiki/%EC%A0%A0%ED%82%A8%EC%8A%A4_(%EC%86%8C%ED%94%84%ED%8A%B8%EC%9B%A8%EC%96%B4)

'cert' 카테고리의 다른 글

eval-stdin.php Remote Code Execution  (2) 2021.03.21
dotenv Scan Vulnerability(.env)- (1)  (0) 2021.03.07
Mozi Botnet 에서의 Command Injection Attack - (4)  (2) 2021.03.01
Mozi Botnet 에서의 Command Injection Attack - (3)  (0) 2021.02.22
Mozi Botnet 에서의 Command Injection Attack - (2)  (1) 2021.02.14

'cert' Related Articles

티스토리툴바