【护网必备】Jenkins综合漏洞的利用工具

最新推荐文章于 2024-08-04 22:58:41 发布
最新推荐文章于 2024-08-04 22:58:41 发布
阅读量438 收藏 7
点赞数 3
文章标签: jenkins Jenkins漏洞利用 漏洞利用工具 HW 护网行动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/139347769
版权

工具介绍

Jenkins的综合漏洞利用工具

环境说明

在windows或linux使用jdk8的哪一个版本应该都可以,在macOS里如果出现了找不到主类的错误,可能是因为当前java版本没有jfxrt.jar包,可以把这个jar包放在类似F:\java8\jdk1.8.0_102\jre\lib\ext这样的目录下,jfxrt.jar包在JenkinsExploit-GUI项目源码中可以单独下载下来,如果是linux或macOS的话需要对外置payload进行chmod +x 赋予权限

检测支持

目前工具支持一下漏洞的检测:

  • CVE-2015-8103/CVE-2016-0788 Jenkins 反序列化远程代码执行 https://github.com/Medicean/VulApps/tree/master/j/jenkins/1

  • CVE-2016-0792 Jenkins XStream反序列化远程代码执行 https://github.com/jpiechowka/jenkins-cve-2016-0792

  • CVE-2017-1000353 Jenkins-CI 远程代码执行漏洞 https://github.com/vulhub/CVE-2017-1000353

  • CVE-2018-1000600 Jenkins GitHub SSRF+信息泄露

  • CVE-2018-1000861 Jenkins 绕过Groovy沙盒未授权命令执行漏洞 https://github.com/orangetw/awesome-jenkins-rce-2019

  • CVE-2018-1999002 Jenkins 任意文件读取 https://mp.weixin.qq.com/s/MOKeN1qEBonS8bOLw6LH_w

  • CVE-2019-1003000 Jenkins 远程代码执行 https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc

  • CVE-2019-1003005/CVE-2019-1003029 远程代码执行(Script Security Plugin沙箱绕过) https://github.com/orangetw/awesome-jenkins-rce-2019

  • CVE-2024-23897 Jenkins CLI 接口任意文件读取漏洞 https://github.com/vulhub/vulhub/blob/master/jenkins/CVE-2024-23897

工具使用

DNSLog

进行dnslog设置,目前仅支持dnslog.pw和ceye.io

免责声明

本开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任

下载地址

点击下方名片进入公众号

回复关键字【240601】获取下载链接

FLy_鹏程万里
关注
jenkins漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-13 1565
jenkins漏洞概述,Jenkins是一个开源软件项目,它是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。 3月9日,启明星辰VSRC监测到Jenkins官方发布安全公告,修复了Jenkins Server和Update Center中发现的2个跨站脚本漏洞(CVE-2023-27898和CVE-2023-27905,统称为“CorePlague”)。未经身份验证的威胁者可利用这些漏洞在受害者的 Jenkins Server上执
2022年护网行动漏洞
06-08
### 2022年护网行动漏洞库 #### 知识点概览 本文档旨在详细介绍《2022年护网行动漏洞库》中提及的重要知识点,涵盖多个领域内的安全漏洞,包括但不限于系统漏洞、服务漏洞、中间件漏洞等。通过分析这些漏洞的特点...
2024年最新网络安全学习day6——永恒之黑漏洞复现,2024年最新下血本买的
2401_84281594的博客
05-06 743
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。7)运行脚本,发起攻击。
Jenkins CLI 任意文件读取漏洞检查工具,2024年网络安全面经分享
2401_83739411的博客
04-15 402
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
Jenkins未授权访问漏洞
qq_68186313的博客
08-04 345
默认情况下 Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。二:在打开的URL中.点击 Manage Jenkins–>Scritp Console 在执行以下命令。一、使用以下fofa语法进行产品搜索。Jenkins未授权访问漏洞
一款Jenkins综合漏洞利用工具-JenkinsExploit-GUI
siu~
03-15 1851
一款Jenkins综合漏洞利用工具
漏洞复现----1、Jenkins Git Client插件命令执行漏洞(CVE-2019-10392)
七天
12-02 2490
CVE-2019-10392
Jenkins未授权访问漏洞复现与 getshell 利用方法汇总
W小哥
09-23 7387
一、Jenkins介绍 1.1 什么是JenkinsJenkins是一个开源的、提供友好操作界面的持续集成(CI)工具,起源于Hudson(Hudson是商用的),主要用于持续、自动的构建/测试软件项目、监控外部任务的运行。Jenkins用Java语言编写,可在Tomcat等流行的servlet容器中运行,也可独立运行。通常与版本管理工具(SCM)、构建工具结合使用。常用的版本控制工具有SVN、GIT,构建工具有Maven、Ant、Gradle。 1.2 Jenkins的功能 Jenkins是一个基于J
Jenkins任意文件读取漏洞(CVE-2018-1999002)
公众号shadow sock7
07-28 3139
在 Windows 下,不存在的目录可以通过 ../ 遍历过去的,而对于 Linux 则不行。那么这个漏洞在 Windows 下是可以任意文件读取的,而在 Linux 下则需要在 Jenkins plugins 目录下存在一个名字中存在 _ 的目录才可以。 感觉比较鸡肋,谁会没事在Jenkins plugins 目录下建一个_的目录? 参考 https://xz.aliyun.com...
护网全套教学pdf资料和工具
06-29
内容包含如下,有这一套护网和做安全服务工程师绝对没问题 01-HW介绍.zip 02-HTTP+Burp课程资料 2.zip 03-信息收集 3.zip 04-SQL注入漏洞 2.zip 05-命令执行漏洞.zip 06-XSS漏洞.zip 07-CSRF.zip 08-中间件漏洞.zip ...
2019年护网行动蓝队必备防御手册(
08-07
2019年护网行动蓝队必备防御手册
护网高危漏洞POC-2024护网高危漏洞POC
最新发布
08-14
最新漏洞POC,护网行动高危POC ⼀、2023HW漏洞POC、EXP(动态更新) ⽹神 SecSSL 3600安全接⼊⽹关系统 任意密码修改漏洞 ⽹神 SecGate 3600 防⽕墙 obj_app_upfile 任意⽂件上传漏洞 某达OA sql注⼊漏洞 CVE-2023-...
Jenkins远程代码执行漏洞检查(CVE-2017-1000353)
weixin_30675247的博客
05-05 240
Jenkins的反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限 漏洞影响范围: 所有Jenkins主版本均受到影响(包括<=2.56版本)所有Jenkins LTS 均受到影响( 包括<=2.46.1版本) 测试步骤: 1.下载生成反序列的payload: https://github.com/nobleXu/jenkins 2.生成...
jenkins 代码执行 (CVE-2017-1000353)漏洞复现
weixin_42675091的博客
09-23 584
jenkins 代码执行 (CVE-2017-1000353)漏洞复现
jenkins远程命令执行利用工具
angaoux03775的博客
03-08 520
昨天看小飞侠写的py的jenkins的脚本,昨天晚上在微信里评论今天写一个JAVA的GUI的tools. 早上花了点时间写一下: code: package com.tools; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader;...
Jenkins CLI 任意文件读取漏洞检查工具(1),网络安全学习的三个终极问题及学习路线规划
2401_84166567的博客
04-09 928
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Jenkins使用aqua-microscanner-plugin进行容器漏洞扫描
weixin_30254435的博客
08-20 436
官方地址:https://github.com/jenkinsci/aqua-microscanner-plugin Step1 在jenkins安装"Aqua MicroScanner"插件 Step2 系统设置配置token,token获取地址:https://microscanner.aquasec.com/signup Step3 Pipeline中添加扫描脚...
Jenkins RCE 漏洞复现(CVE-2017-1000353、CVE-2018-1000861)
oiadkt的博客
09-21 1962
Jenkins 是软件测试过程中常用的一种持续构建的工具Jenkins RCE 漏洞触发方式大致分为两种,一种使用 Jenkins CLI 触发,而另一种触发方式为 HTTP 请求触发。这里复现的 CVE-2017-1000353 与 CVE-2018-1000861 就是两种触发方式的代表。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值