利用Vulnhub复现漏洞 - Jenkins-CI 远程代码执行漏洞(CVE-2017-1000353)

最新推荐文章于 2024-07-05 10:55:09 发布
最新推荐文章于 2024-07-05 10:55:09 发布
阅读量2.2k 收藏
点赞数
分类专栏: 渗透 文章标签: Vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiangBuLiu/article/details/95475293
版权
该博客详细介绍了如何复现Vulnhub上的Jenkins-CI远程代码执行漏洞(CVE-2017-1000353)。首先,博主提供了漏洞原理的参考资料,接着分享了复现环境的启动步骤,包括搭建和运行漏洞环境。然后,通过生成序列化字符串并发送数据包来执行命令,最后验证漏洞利用是否成功。
摘要由CSDN通过智能技术生成

Jenkins-CI 远程代码执行漏洞(CVE-2017-1000353)

Vulnhub官方复现教程

https://vulhub.org/#/environments/jenkins/CVE-2017-1000353/

漏洞原理

参考阅读 https://blogs.securiteam.com/index.php/archives/3171

复现过程

启动环境

https://blog.csdn.net/JiangBuLiu/article/details/93853056
进入路径为

cd /root/vulhub/jenkins/CVE-2017-1000353

搭建及运行漏洞环境:

docker-compose build && docker-compose up -d

用时:6分钟
环境启动后,访问http://your-ip:8080即可看到jenkins已成功运行,无需手工安装。
在这里插入图片描述

漏洞复现

生成序列化字符串

参考https://github.com/vulhub/CVE-2017-1000353,首先下载

最低0.47元/天 解锁文章
建瓯最坏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Jenkins-CI 远程代码执行漏洞CVE-2017-1000353
不忘初心,护天下安全!
10-19 922
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。
jenkins java反序列化_Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353)
weixin_31308407的博客
02-13 201
Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353)一、漏洞描述该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。二、漏洞影响版本所有jenkins主版本均受到影响(包括<=2.56版本)所有的jenkins LTS均受到影响(包括&lt...
Jenkins-CI 远程代码执行漏洞复现CVE-2017-1000353
最新发布
m0_63082628的博客
07-05 811
Jenkins-CI 远程代码执行漏洞复现
Jenkins 远程代码执行漏洞CVE-2017-1000353复现
YouthBelief的博客
11-25 4986
所有文章,仅供安全研究与学习之用,后果自负! Jenkins 远程代码执行漏洞CVE-2017-1000353Jenkins 远程代码执行漏洞CVE-2017-1000353)0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 Jenkins 远程代码执行漏洞CVE-2017-1000353) 0x01 漏洞描述 Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误检查和内置帮助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交
Jenkins远程代码执行漏洞检查(CVE-2017-1000353
weixin_30675247的博客
05-05 235
Jenkins的反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码漏洞利用不需要任何的权限 漏洞影响范围: 所有Jenkins主版本均受到影响(包括<=2.56版本)所有Jenkins LTS 均受到影响( 包括<=2.46.1版本) 测试步骤: 1.下载生成反序列的payload: https://github.com/nobleXu/jenkins 2.生成...
ansible-role-jenkins:Ansible角色-Jenkins CI
01-30
【Ansible角色-Jenkins CI详解】 Ansible是一个强大的自动化工具,用于配置管理、应用部署和任务执行。在持续集成(CI)和持续交付(CD)的流程中,Jenkins是广泛应用的开源自动化服务器。`ansible-role-jenkins`是...
android-gradle-jenkins-plugin:Jenkins上用于CI Android项目的Gradle插件
01-30
Android Gradle Jenkins 插件的核心功能是将Gradle构建系统与JenkinsCI服务紧密集成。Gradle作为Google推荐的Android项目构建工具,拥有强大的灵活性和可扩展性,可以处理复杂的依赖关系和构建逻辑。而Jenkins则是...
jenkins-build-monitor-plugin:Jenkins CI Build Monitor插件
01-30
Jenkins CI Build Monitor插件 Build Monitor插件提供了所选Jenkins作业状态的高度可见的视图。 它可以轻松适应不同的计算机屏幕尺寸,并且非常适合作为极端反馈设备显示在办公室墙壁的屏幕上。 (灵感来自不再维护...
django-jenkins:与django和jenkins即插即用连续集成
02-05
当触发器激活时,Jenkins拉取最新的代码,然后执行你在`JENKINS_TASKS`中定义的任务。这些任务会在项目的环境中运行,生成测试结果、代码风格报告和覆盖率报告。 **三、Jenkins的集成** 为了与Jenkins进行集成,...
performance-plugin:Jenkins CI的性能测试运行和报告
05-06
在现代软件开发中,持续集成(Continuous Integration, CI)扮演着至关重要的角色,它允许开发团队频繁地将代码变更合并到主分支,确保代码质量并尽早发现潜在问题。而性能测试是CI流程中的一个关键环节,它能帮助...
代码描述流水线-JenkinsPipeline详解
01-27
自从Jenkins2.0版本升级之后,支持了通过代码(Groovy DSL)来描述一个构建流水线,灵活方便地实现持续交付,大大提升JenkinsJob维护的效率,实现从 CI到CD到转变。而在2016JenkinsWorld大会上,Jenkins发布了1.0...
持续集成CI-jenkins
05-21
### 持续集成CIJenkins详解 #### 一、持续集成CI概念与意义 持续集成(Continuous Integration,简称CI)是一种软件开发实践方法,它强调开发团队成员频繁地集成各自的工作成果,通常每位成员每天至少进行一次...
ansible-jenkins
05-02
该环境对于快速构建可用的Jenkins CI平台非常有用。 这对于学习如何使用Ansible设置Jenkins CI平台也非常有用。 提升Vagrant测试环境要启动此测试环境,只需执行以下命令: cd Vagrantvagrant up 设置完成后,您就...
ansible-role-custom-jenkins
01-30
插件和rpm / apt缓存的代理配置{单独的机器|| 公司代理} 通过CLI / Groovy接口执行所有配置{init.groovy目录| cli groovy input}-避免将文件复制到jenkins home并重新启动,以防api在版本之间发生更改。 出于演示...
vulhubjenkins——CVE-2017-1000353----CVE-2018-1000861复现
qq_45300786的博客
09-07 821
https://blog.csdn.net/whatday/article/details/106544050
Jenkins漏洞利用复现-CVE-2017-1000353
Xor0ne
08-01 1120
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。 Jenkins功能包括: 1、持续的软件版本发布/测试项目。 2、监控外部调用执行的工作。 文章目录1、漏洞描述及环境2、漏洞复现2.1、工具下载2.2、工具利用2.3、检验参考链接: 1、漏洞描述及环境 环境名称: vulfocus/jenkins-cve_2017_1000353 官方复现教程: https://vulhub.org/#/env
Jenkins反序列化漏洞cve-2017-1000353
weixin_30593443的博客
12-13 420
一、漏洞原理: 本地没有环境:参考:https://blogs.securiteam.com/index.php/archives/3171 进行学习理解记录。 首先这是一个java反序列化漏洞,一定是command在序列化信息中,反序列化时候直接执行了该命令。 攻击过程学习: 下文的session是一个uuid,类型4 1 #可以如下生成 2 session = uuid....
jenkins漏洞安全漏洞CVE-2022-2048和CVE-2021-28169
05-20
CVE-2022-2048是Jenkins中的一个安全漏洞,存在于Jenkins的SSH插件中。攻击者可以利用漏洞通过SSH连接到Jenkins主机并执行任意命令。该漏洞的CVSS评分为9.8(最高10分),属于严重级别。 CVE-2021-28169是Jenkins中的另一个安全漏洞,存在于Jenkins的Windows安装程序中。攻击者可以利用漏洞Jenkins服务器上执行任意代码,甚至获取管理员权限。该漏洞的CVSS评分为9.8(最高10分),属于严重级别。 为了防止这些漏洞利用,建议及时更新Jenkins软件,尽可能使用最新版本,并遵循最佳的安全实践。此外,也可以采取其他措施,如限制Jenkins服务器的网络访问权限,使用防火墙保护服务器等等。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值