网络安全最全漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞,2024年最新讲的太清楚了

最新推荐文章于 2024-05-31 11:19:49 发布
最新推荐文章于 2024-05-31 11:19:49 发布
阅读量347 收藏 4
点赞数 5
分类专栏: 程序员 文章标签: 网络安全 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84266016/article/details/138632253
版权

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

在类的downlod()方法中,首先会挂起等待,用于检测是否成功接收到了upload请求,当从upload请求中读到了内容后,会创建一个Channel对象,在创建Channel对象时会将upload的请求内容传入进去。Channel内部会进行多次this调用。

public synchronized void download(StaplerRequest req, StaplerResponse rsp) throws InterruptedException, IOException {
  ......
  try {
      channel = new Channel("HTTP full-duplex channel " + uuid,
      Computer.threadPoolForRemoting, Mode.BINARY, upload, out, null, restricted);
  ......
  } finally {......}
}

Channel()的一系列this调用后,最终会调用transport.setup()方法,

@Deprecated
public Channel(String name, ExecutorService exec, Mode mode, InputStream is, OutputStream os, OutputStream header, boolean restricted) throws IOException {
  this(name,exec,mode,is,os,header,restricted,null);
}
  ......
protected Channel(ChannelBuilder settings, CommandTransport transport) throws IOException {
  ......
	transport.setup(this, new CommandReceiver() {
        public void handle(Command cmd) {
            commandsReceived++;
            lastCommandReceivedAt = System.currentTimeMillis();
            if (logger.isLoggable(Level.FINE))
                logger.fine("Received " + cmd);
            try {
                cmd.execute(Channel.this);
            } catch (Throwable t) {
                logger.log(Level.SEVERE, "Failed to execute command " + cmd + " (channel " + Channel.this.name + ")", t);
                logger.log(Level.SEVERE, "This command is created here", cmd.createdAt);
            }
        }
    ......
    });
    ACTIVE_CHANNELS.put(this,ref());
}

setup()方法中会通过new ReaderThread(receiver).start();创建一个子线程,

@Override
public void setup(Channel channel, CommandReceiver receiver) {
    this.channel = channel;
    new ReaderThread(receiver).start();
}

线程中会调用ClassicCommandTransport类的read()方法,

@Override
public void run() {
    final String name =channel.getName();
    try {
        while(!channel.isInClosed()) {
            Command cmd = null;
            try {
                cmd = read();
            } catch (SocketTimeoutException ex) {
                if (RDR_FAIL_ON_SOCKET_TIMEOUT) {
                    LOGGER.log(Level.SEVERE, "Socket timeout in the Synchronous channel reader."
                            + " The channel will be interrupted, because " + RDR_SOCKET_TIMEOUT_PROPERTY_NAME 
                            + " is set", ex);
                    throw ex;
                }
            }
            ......
        }
    }
}

该方法中功能包含一个Command类的readFrom()方法,会对传入的字节流进行readObject()操作,从而导致了反序列化代码执行。

public final Command read() throws IOException, ClassNotFoundException {
    try {
        Command cmd = Command.readFrom(channel, ois);
        if (rawIn!=null)
            rawIn.clear();
        return cmd;
    } catch (RuntimeException e) {// see JENKINS-19046
        throw diagnoseStreamCorruption(e);
    } catch (StreamCorruptedException e) {
        throw diagnoseStreamCorruption(e);
    }
}


static Command readFrom(Channel channel, ObjectInputStream ois) throws IOException, ClassNotFoundException {
  Channel old = Channel.setCurrent(channel);
  try {
    return (Command)ois.readObject();
  } finally {
    Channel.setCurrent(old);
  }
}

0x03 漏洞利用

在分析完漏洞原因后,我们需要思考如何构造Payload利用漏洞。由于Jenkins中包含了org.apache.commons.collections依赖项目,我们则就可以尝试用CC链进行反序列化攻击,但在Jenkins的黑名单中禁止了CC链的直接反序列化,则就需要找到一条链绕过黑名单的限制。

3.1 序列化黑名单

在漏洞分析章节中提到,Channel()方法会经过一系列的this调用,该过程中调用了ChannelBuilder类的negotiate()方法,该方法在return时调用了中的makeTransport()方法,返回了一个ClassicCommandTransport对象,在创建该对象过程中,会创建一个ObjectInputStreamEx对象并在传参过程中调用该类的getClassFilter()方法,getClassFilter()方法返回了一个ClassFilter.DEFAULT,ClassFilter.DEFAULT最终会返回了一个定义好的黑名单类列表,其中就包含了CC链中的相关类。

private static final String[] DEFAULT_PATTERNS = {
    "^bsh[.].\*",
    "^com[.]google[.]inject[.].\*",
    "^com[.]mchange[.]v2[.]c3p0[.].\*",
    "^com[.]sun[.]jndi[.].\*",
    "^com[.]sun[.]corba[.].\*",
    "^com[.]sun[.]javafx[.].\*",
    "^com[.]sun[.]org[.]apache[.]regex[.]internal[.].\*",
    "^java[.]awt[.].\*",
    "^java[.]rmi[.].\*",
    "^javax[.]management[.].\*",
    "^javax[.]naming[.].\*",
    "^javax[.]script[.].\*",
    "^javax[.]swing[.].\*",
    "^org[.]apache[.]commons[.]beanutils[.].\*",
    "^org[.]apache[.]commons[.]collections[.]functors[.].\*",
    "^org[.]apache[.]myfaces[.].\*",
    "^org[.]apache[.]wicket[.].\*",
    ".\*org[.]apache[.]xalan.\*",
    "^org[.]codehaus[.]groovy[.]runtime[.].\*",
    "^org[.]hibernate[.].\*",
    "^org[.]python[.].\*",
    "^org[.]springframework[.](?!(\\p{Alnum}+[.])\*\\p{Alnum}\*Exception$).\*",
    "^sun[.]rmi[.].\*",
    "^javax[.]imageio[.].\*",
    "^java[.]util[.]ServiceLoader$",
    "^java[.]net[.]URLClassLoader$"
};

3.2 黑名单绕过

jenkins的黑名单限制了CC链利用的相关类,但SignedObject类没有在黑名单中,SignedObject类在创建对象时可以传入一个序列化类型的对象,并且SignedObject类的getObject()方法中会对传入的序列化对象进行反序列化操作,即调用readObject()方法,这里的readObject()方法并没有对限制CC类的使用,从而可以传入构造的序列化对象进行反序列化恶意执行代码。因此,需要构造一个调用链去调用SignedObject类的getObject()方法的利用链,从而绕过CC链的黑名单的限制,进行反序列化攻击。

3.3 CC利用链绕过的流程

在这里插入图片描述

3.4 Payload分析

在对ReferenceMap类进行反序列化时,会默认调用其readObject方法。

在这里插入图片描述

doReadObject方法对序列化流进行读取,分别复制给key和value,并调用put方法,将其放到一个map中

在这里插入图片描述
在这里插入图片描述

在put方法中,调用了isEqualKey方法对传入的两个key做比较

在这里插入图片描述

由于传入的key是CopyOnWriteArraySet对象因此会调用该对象的equals方法

在这里插入图片描述

CopyOnWriteArraySet.equals()方法中调用了 eq()方法判断传入的两个对象是否相等。

在这里插入图片描述
在这里插入图片描述

由于在处理CopyOnWriteArraySetequals方法中传入的对象是CopyOnWriteArraySet包装的ConcurrentSkipListSet对象和ListOrderedSet对象,因此会调用ConcurrentSkipListSet对象的equals对象将ListOrderedSet对象传入进去。

在这里插入图片描述

在Payload中,由于将ListOrderedSet对象的collection替换成了JSONArray对象。因此在调用containsAll方法中,会调用JSONArray类的containsAll方法对传入的 ConcurrentSkipListSet对象进行处理。

在这里插入图片描述

再经过JSONArray类内部的方法遍历元素,当传入的元素是一个对象时,则就是将其转换成JSON对象并使用PropertyUtils.getProperty()方法获取其中的属性值,在获取属性值的过程中通过反射机制调用了该SignedObject对象的getObject(),完成了CC链的入口点。

在这里插入图片描述

 *   JSONArray.containsAll() ->
 *    JSONArray.containsAll() ->
 *     JSONArray.fromObject() ->
 *      JSONArray._fromCollection() ->
 *       JSONArray.addValue() ->
 *        JSONArray.processValue() ->
 *         JSONArray._processValue() ->
 *          AbstractJSON._processValue() ->
 *           JSONObject.fromObject() ->
 *            JSONObject._fromBean() ->
 *             JSONObject.defaultBeanProcessing() ->
 *              PropertyUtils.getProperty() ->
 *               PropertyUtilsBean.getProperty() ->
 *                PropertyUtilsBean.getNestedProperty() ->
 *                 PropertyUtilsBean.getSimpleProperty() ->
 *                  PropertyUtilsBean.invokeMethod() ->
 *                   SignedObject.getObject() ->

3.5 SignedObject类

SignedObject类的构造方法中传入了一个Serializable类型对象,并将其序列化并保存到了content属性中,在SignedObjectgetObject()方法中对content进行了反序列化操作。

在这里插入图片描述
在这里插入图片描述

3.6 漏洞修复

官方的修复方式是将SingedObejct类加入了黑名单。

在这里插入图片描述

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84266016
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jenkins集成OWSAP ZAP插件方法
01-26
* Jenkins是一款流行的自动化构建工具,可以与OWASP ZAP插件集成,实现自动化安全漏洞扫描。 * 在Jenkins中,需要下载Official OWASP ZAP Jenkins Plugin插件,并设置ZAPROXY_HOME变量。 * 在设置OWASP ZAP工具时,...
jenkins远程ssh部署插件,现已由于安全漏洞jenkins官方下架,需要的自取
02-12
SSH(Secure Shell)是一种网络协议,用于在不安全的网络上安全地执行命令和传输数据。在Jenkins中,SSH插件是实现远程服务器部署的关键组件。 "jenkins远程ssh部署插件"是Jenkins生态系统中的一个重要组成部分,它...
jenkins漏洞集合
SHELLCODE_8BIT的博客
03-01 4498
复现文章和脚本大都是网上收集,大部分能找到出处的,个别找不到明确的地址。
Jenkins】未授权访问漏洞
qq_50854662的博客
07-08 1733
Jenkins】未授权访问漏洞
【护网必备】Jenkins综合漏洞利用工具
最新发布
Fly_鹏程万里
05-31 363
CVE-2015-8103/CVE-2016-0788 Jenkins 反序列化远程代码执行 https://github.com/Medicean/VulApps/tree/master/j/jenkins/1。CVE-2024-23897 Jenkins CLI 接口任意文件读取漏洞 https://github.com/vulhub/vulhub/blob/master/jenkins/CVE-2024-23897。本开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。
漏洞通告】 Jenkins CLI 任意文件读取漏洞
y995zq的博客
01-30 2028
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。Jenkins 有一个内置的命令行界面(CLI),可从脚本或 shell 环境访问 Jenkins。处理 CLI 命令时, Jenkins 使用args4j库解析 Jenkins 控制器上的命令参数和选项。
Jenkins 出现严重漏洞,可导致代码执行攻击
smellycat000的专栏
03-09 1568
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源自动化服务器 Jenkins 中存在两个严重漏洞(CVE-2023-27898和CVE-2023-27905),可导致攻击者在目标系统上执行代码。这两个漏洞影响 Jenkins 服务器和Update Center,它们被Aqua公司统称为 ‘CorePlague"。Jenkins 2.319.2之前的版本均受影响。Aqua公司在报告中指出,“...
[高危] Jenkins CLI 任意文件读取漏洞导致远程代码执行风险
weixin_43564241的博客
01-26 1085
Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的文件路径替换为文件内容,攻击者可利用该特性使用 Jenkins 控制器进程的默认字符编码读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合 Resource Root URL、Remember me cookie、存储型 XSS 或 CSRF 等。Jenkins 2.442, LTS 2.426.3 版本通过禁用命令解析器读取 @ 字符后文件路径的特性修复此漏洞
信息安全_数据安全_Hacking Jenkins !.pdf
08-22
- 及时更新:保持Jenkins及其插件的最新版本,修复已知漏洞。 - 加强身份验证:实施多因素认证以增强登录安全性。 - 监控与审计:定期审查日志,检测异常行为,并实施严格的访问控制策略。 - 安全配置:正确配置...
ant+jmeter报告模板源代码.rar_Jmeter Jenkins_ant xsl模板_jemter源码分析_jmeter
09-14
本资源"ant+jmeter报告模板源代码.rar"提供了JMeter与Ant、Jenkins集成的解决方案,以及对JMeter报告的二次开发,帮助我们更高效地管理和分析测试结果。 首先,让我们来了解一下JMeter。JMeter是一款纯Java应用,...
AWVS/Acunetix Premium v24.1.24高级版漏洞扫描器
01-21
网络安全领域,漏洞扫描是至关重要的一步,因为网络攻击者常常利用软件中的漏洞发起攻击。Acunetix Premium 提供了全面的扫描功能,能够探测出包括SQL注入、跨站脚本(XSS)、XML外部实体注入、敏感数据泄露等多种...
漏洞分析Jenkins漏洞回显利用效果_jenkins 漏洞
04-12 495
【代码】漏洞分析Jenkins漏洞回显利用效果_jenkins 漏洞
使用goby检测log4j漏洞
kali_Ma的博客
02-18 1640
一、前言 前段时间的Log4j漏洞影响很广泛,网上已经公开了很多地方的利用方式,而平时用goby较多,就想利用goby的指纹识别对目标定向检测。这篇文章就从Apache Solr Log4j漏洞为例,教大家如何写goby poc,文章中有错误还请及时指正。 Goby可以通过编写go文件,来实现一些高级的漏洞检测或利用,例如dnslog检测漏洞,详情可查阅goby官方文档:https://cn.gobies.org/docs/exp/index.html 二、漏洞复现 首先了解到漏洞触发点是action参数,
漏洞复现----6、Jenkins远程命令执行漏洞(CVE-2018-1000861)
七天
11-25 4456
文章目录一、Jenkins简介二、CVE-2018-1000861简介三、漏洞复现 一、Jenkins简介 Jenkins是一个独立的开源自动化服务器,由JAVA开发。 可用于自动化各种任务,如构建,测试和部署软件;也可以根据设定持续定期编译,运行相应代码;运行UT或集成测试;将运行结果发送至邮件,或展示成报告等。 Jenkins可以通过本机系统包Docker安装,也可以通过安装Java Runtime Environment的任何机器独立运行。 在很多中大型金融企业中普遍使用Jenkins来作为项目发
CVE-2024-23897 JenKins任意文件读取漏洞复现,一个网络安全程序员的阿里面试心得
m0_60666921的博客
04-05 865
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Jenkins plugin manager 存在存储型XSS漏洞(CVE-2023-27898)
murphysec的博客
03-15 861
Jenkins是一款Java编写的集成工具。 该项目受影响版本存在存储型XSS漏洞。该漏洞是由于在呈现插件版本与Jenkins plugin manager版本不兼容的错误信息时没有进行转义。 攻击者可向Jenkins实例中配置的更新站点提供插件,当Jenkins实例加载插件时,错误信息处的JavaScript代码便会被浏览器执行。
盘点那些漏洞 POC 测试工具
leah126的博客
11-09 210
以上工具覆盖肯定不全,还有其他专注 POC 检测的工具,比如知道创宇的 pocsuite3,只随软件携带来十几个案例 POC,目前我使用最多的就是 xray、xpoc、nuclei 这些工具,最近开始用 afrog,大家有好用的工具欢迎留言推荐,一起学习。文库目录:https://wiki.xazlsec.com/static/forder.html—END—黑客&网络安全如何学习1.学习路线图。
Jenkins远程代码执行漏洞检查(CVE-2017-1000353)
weixin_30675247的博客
05-05 230
Jenkins的反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限 漏洞影响范围: 所有Jenkins主版本均受到影响(包括<=2.56版本)所有Jenkins LTS 均受到影响( 包括<=2.46.1版本) 测试步骤: 1.下载生成反序列的payload: https://github.com/nobleXu/jenkins 2.生成...
Jenkins安全基线
个人博客
12-28 786
Jenkins安全基线 访问控制 1.高危-启用Jenkins安全性设置 描述: 默认情况下,匿名用户没有权限,而登录的用户具有完全的控制权。用户可以使用用户名和密码登录,以执行匿名用户不可用的操作。哪些操作要求用户登录取决于所选择的授权策略及其配置。对于任何非本地(测试)Jenkins环境,应始终启用此复选框。 加固建议: 打开jenkins控制台,依次选择 系统管理->全局安全配置,勾选启用安全性设置 2.中危-配置NLP TCP端口 描述: Jenkins使用TCP端口与通过JNLP协议启动的代
jenkins漏洞安全漏洞CVE-2022-2048和CVE-2021-28169
05-20
CVE-2022-2048是Jenkins中的一个安全漏洞,存在于Jenkins的SSH插件中。攻击者可以利用漏洞通过SSH连接到Jenkins主机并执行任意命令。该漏洞的CVSS评分为9.8(最高10分),属于严重级别。 CVE-2021-28169是Jenkins中的另一个安全漏洞,存在于Jenkins的Windows安装程序中。攻击者可以利用漏洞Jenkins服务器上执行任意代码,甚至获取管理员权限。该漏洞的CVSS评分为9.8(最高10分),属于严重级别。 为了防止这些漏洞利用,建议及时更新Jenkins软件,尽可能使用最新版本,并遵循最佳的安全实践。此外,也可以采取其他措施,如限制Jenkins服务器的网络访问权限,使用防火墙保护服务器等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值