5. Local Privilege Escalation Part 2

# 5. Local Privilege Escalation Part 2 Los entornos empresariales están llenos de apliacaciones desarrolladas internamente como consolas de web, u otras herramientas y dispositivos de estas consolas web. En este caso se hace referencia de las herramientas de integración continua o gestión de compilación. Jenkins es una de las herramientas de integración continua más utilizadas. Se tiene un Jenkins ejecutándose en la máquina dcorp-ci(172.16.3.11). Recordar hacer un scaneo para obtener la IP de la máquina que posee el Jenkins. Obs mía: ¿Esto se puede hacer con nmap y usando el comando para obtener las computadoras en el dominio? En este caso en particular se verá la versión 2.138.2 Se tiene un único ejecutor de compilación la cual es una máquina Windows Server 2016 y Jenkins se ejecutará en un proceso de 32 bits. ![](https://i.imgur.com/u2g8wKS.png) Los usuarios registrados en Jenkins: ![](https://i.imgur.com/hEy38EG.png) En este caso se probará las credenciales `jenkinsadmin:jenkinsadmin` - Abusando con los privilegios de Administrador Jenkins proporciona una consola de comandos en groovy ``` http://172.163.3.11:8080/script ``` ![](https://i.imgur.com/E7XxO0E.png) def proc = 'whoami'.execute() ![](https://i.imgur.com/xLlFjo2.png) - Abusando sin los privilegios de administrador Algunas credenciales comunes pueden ser: ``` manager:manager manager:reganam ``` Si nuestro usuario tiene la capacidad de configurar compilaciones entonces puede ejecutar comandos. ``` http://172.16.3.11/job/Project0/ ``` ![](https://i.imgur.com/R0Ue7Hp.png) Recordar que podemos usar burpsuite y recorrer los proyectos `Project0` en la URL. Ir a la pestaña de configuración y agregar un paso de compilación y ejecutar el comando por lotes de Windows que nos permite ejecutar los comandos de nivel del sistema operativo con los mismos privilegios. Nuevas credenciales: `builduser:builduser` ![](https://i.imgur.com/kWEk0JW.png) ``` http://172.16.3.11:8080/job/Project0/configure ``` ![](https://i.imgur.com/b6t0ykX.png) Ejecución de comandos ![](https://i.imgur.com/un8UKBO.png) ``` powershell whoami ``` Deespués de ejecutar el comando se dirige al output de la consola: ![](https://i.imgur.com/visceYj.png) ![](https://i.imgur.com/cQRXKAG.png) Podemos ejecutar otro comando para saber que miembros pertenecen al grupo de `administradores`: ``` powershell net localgroup administrator ``` ![](https://i.imgur.com/EWB7B90.png) Y vemos que `ciadmin` es administrador de esa máquina.