Jenkins
Enumeration
Avec Metasploit
Sans Metasploit
Checker les endpoints:
Auth misconfig
Les problรจmes de configuration frรฉquents pour les instances Jenkins sont les suivants:
Droits guest ou admin par dรฉfaut
Possibilitรฉ de crรฉer un compte en tant qu'anonyme
SSO Github/Bitbucket sans restriction d'entreprise (possibilitรฉ de se connecter avec un compte perso)
Absence de protection anti-bruteforce
msf> use auxiliary/scanner/http/jenkins_login
Authenticated attacks
Recherche de secrets via builds dumping
RCE
Outils
Derniรจre mise ร jour