search

Jenkins

hashtag
jenkins

hashtag
Jenkins

hashtag
Inyectar comando al construir proyecto

https://rubbxalc.github.io/writeups/assets/img/Object-htb/4.png

image

Es necesario agregar una tarea para que se ejecute cada cierto tiempo (En este caso, cada minuto)

https://rubbxalc.github.io/writeups/assets/img/Object-htb/5.png

image

Una vez se ha compilado, se puede ver el output del comando que he indicado

https://rubbxalc.github.io/writeups/assets/img/Object-htb/6.png

image

En caso de no querer esperar a que se ejecute la tarea, existe una alternativa. Creo un token desde los ajustes de la cuenta a la que previamente tenía acceso

https://rubbxalc.github.io/writeups/assets/img/Object-htb/8.png

image

Con curl construyo el proyecto

hashtag
Obtener credenciales

En caso de poder ejecutar comandos, es necesario traer tres archivos, el config.xml, master.key y hudson.util.Secret

El último al ser un binario hay que traerlo en base64 para posteriormente hacer un decode

La herramienta necesaria se encuentra en Githubarrow-up-right

PreviousCMSNextwordpress

Last updated