在levelUp上发表完“Doing Recon Like a Boss”和更新了一篇Hackerone上同样主题的帖子后，我决定开始挖一些公开项目漏洞，看看这种方法是否仍然适用于公开项目。作为其中的一部分，我决定看看Slack和Snapchat的漏洞赏金项目，并按照演讲中描述的那样准确地完成侦察任务。

Step #1 –子域名爆破

子域收集通常在大型漏洞赏金项目中是一个好的开头，但不幸的是我发现的子域并不是很有趣，所以我决定找到更“有趣”的东西。跳到第二阶段。

Step #2 – Amazon网络服务（AWS）

Amazon一直都是一个不错的起点，但了解到的是Snapchat很大程度上依赖于Google，而且他们在Hackerone漏洞赏金项目中已经声明了他们的APP是托管在Google上的。那么我们不要继续在s3 buckets上浪费时间了，看看还有什么吧！

Step #3  – HackerOne上Snapchat的披露报告

作为侦察任务的一部分，我通常喜欢寻找已知或披露的漏洞。我快速浏览了一下他们的Hacktivity并发现如下内容：

– render.bitstrips.com

– blog.snapchat.com

– accounts.snapchat.com

– fastly.sc-cdn.net

– sc-corp.net（感谢Shubs）

“sc-cdn.net”和“sc-corp.net”都引起了我的注意。我的第一反应就是子域名爆破，但这是在自欺欺人。这些是corp / cdn域名，而且很有可能大多数这些有趣的子域名都有特定的模式。现在的问题是我该如何发现他们？

Step #4: Censys / Shodan

在Censys.io上查找证书一般是个很好的方式。通常我在censys上使用类似于这样的查询条件：

443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:domain.com

在通过暴力破解不能找到有趣的子域名情况下，再用这种方法就足够了。通过这些结果，我发现了一个子域名：REDACTED-jenkins-Environment.sc-corp.net，该域名要求用户登录才能查看具体内容。这个时候，我想知道是否存在生产环境。肯定有很多，让我们找一下吧。为了加速我的进程，我用了能查找以下不同REDACTED-jenkins-$env.sc-corp.net序列列表的脚本：

“dev, alpha, stage, prod, beta, local,test”。正如我所期望的那样，其中一些结果返回了302响应码，这暗示他们可能需要登录。

Step #5:从这里我能干什么呢？

我最初的想法是很明显地尝试登录这个产品实例，但这并没有成功（感谢preben_ve）。因此，让我们下移列表，并在其他实例上尝试相同的方法。这就是所有乐趣开始的地方。算我幸运，我发现的其中一个实例允许我使用gmail帐户登录到Jenkins实例。现在，我已经通过了它们的Jenkins实例身份验证，我认为它可能只给了最小的权限允许我做一些事情，更不用说允许我访问“Script Console（脚本控制台）”了。这时候，我运行了一个允许我从这台服务器读取一份文件的脚本，然后立刻停止所有测试并将细节提交给了Snapchat团队。没有必要执行其他脚本来证明影响，因为我已经可以读取系统上的任意文件了。为了证明RCE（远程代码执行），我在报告中包含了一份允许执行命令的脚本，并要求他们自己冒险进行测试。我们晚一点儿讨论这些脚本。

Step #6:利用Jenkins漏洞

我写这篇帖子不只是为了讨论我提交给Snapchat的报告，因为其实大多数信息能通过我在HackerOne上的限制公开披露并做一些简单的侦察猜到。我写这篇帖子的目的是深入探讨利用Jenkins的漏洞，并讨论它是否真的值2万美元。为了实现这个目的，我用自己的Jenkins实例来演示不同的攻击场景（截图与我提交给Snapchat的报告无关）：

Example #1:已知漏洞（只是为了突出一些）

CVE-2016-9299– Jenkins Java 反序列化远程代码执行漏洞

CVE-2015-8103– Jenkins CLI – RMI Java 反序列化(Exploit)

Example #2:访问构建信息：

通常有权访问Jenkins的构建信息则说民可能会让你访问凭据，api_keys / secrets这里是源码：

Example #3:插件

Jenkins

允许你安装不同的插件，比如Github OAuth，你可以允许用户使用你的组织进行登录，这可能泄露你的Github令牌：

使用Github API可以访问更多数据。比如：https://api.github.com/orgs/ORG_NAME/repos?access_token=XXXXX

Example #4: Groovy脚本

正如我之前提到的，脚本控制台允许你使用一行代码来读取文件：

通过以下代码你也能在这台服务器上执行一条命令：

def sout = new StringBuilder(), serr = new StringBuilder()

def proc = 'ls /etc/'.execute()

proc.consumeProcessOutput(sout, serr)

proc.waitForOrKill(1000)

println "out> $sout err> $serr"

关键点：

1. Jenkins允许你有不同的用户权限。这意味着你得通过Jenkins实例登录认证，它不保证你可以执行远程代码。

2.如果需要通过Github或Google OAuth认证，不要被吓到。

3.你的访问权限可能有限（没有脚本，构建信息等），但是你可以访问“People”列表中的用户。这也许能让你通过暴力破解的方式获取登录凭证（我没有那么极端）。

4.通常Jenkins被用于部署，所以查一下IP，主机名等。如果你拿下了Jenkins而且想进一步测试（在漏洞赏金项目中尽量避免，完全没必要而且会违反大多数项目规则），值得注意的是Jenkins服务器最有可能有权限访问生产环境或内网环境。在运行的服务器上找找私钥和主机。

5.不要在你的报告中使用“公开可访问的Jenkins”，除非你可以利用上面的一个或多个例子。

6. Snapchat立刻移除了这个实例并奖励了我。他们也非常友善地同意我写这篇关于这个漏洞的帖子。

感谢阅读，挖洞愉快！