Jenkins未授权访问

已于 2022-03-04 11:52:24 修改
阅读量767 收藏
点赞数
文章标签: jenkins 运维 linux
于 2022-03-04 11:48:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_l123/article/details/123272381
版权

漏洞原因

Jenkins系统后台中可以执行系统脚本命令,(本作用是故障排除和诊断使用)

漏洞版本

Jenkins 1.62

利用条件

1.使用低版本的Jenkins,默认没有登录控制
2.有登录控制,但配置文件中设置了不启用安全性(/var/lib/jenkins/config.xml 设置为false)
3.控制台使用了弱密码

漏洞复现

登录到靶场

登录 admin/admin

系统管理>全局安全配置(低版本的Jenkins,默认没有登录控制,所以这里要修改)

 退出登录,系统管理>脚本命令

 查看当前目录下的文件信息

println "ls".execute().text

漏洞防御

升级版本

禁止把Jenkins直接暴露在公网

恢复安全设置(老版本默认开启“任何用户可以做任何事”),设置强口令密码

Z_l123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jenkins 安全配置
悦分享
01-30 112
打开jenkins页面,点击左侧的系统管理—>Configure Global Security,进入权限配置界面,确保允许账户注册和任何用户可以做任何事两个选项没有同时勾选。若使用了安全矩阵,确保anonymous用户不能具有read之外的权限。在Jenkins中,可在 Jenkins 实例建立用户和他们的相关权限。默认情况下,不希望每个人都能够在 Jenkins 中定义工作或其他管理任务。通过该漏洞,可以后台管理服务,通过脚本命令行功能执行系统命令,如反弹shell,wget写webshell文件。
常见授权访问漏洞总结1
08-04
漏洞简介以及危害config set dir /var/spool/cron
Jenkins授权访问漏洞&命令执行
qq_45434762的博客
03-28 8471
Jenkins授权访问漏洞环境准备下载安装包,版本1.620.1.1.norachwget http://archives.jenkins-ci.org/redhat/jenkins-1...
授权访问漏洞总结(redis,couchdb,jenkins,mongo,Elasticsearch,Memcache,Docker)
3569
01-24 4002
0x01 介绍 Copy from https://paper.seebug.org/409/ 授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。 目前主要存在授权访问漏洞的有:NFS 服务,Samba 服务,LDAP,Rsync,FTP,GitLab,Jenkins,MongoDB,
Jenkins授权访问漏洞复现与 getshell 利用方法汇总
W小哥
09-23 5674
一、Jenkins介绍 1.1 什么是JenkinsJenkins是一个开源的、提供友好操作界面的持续集成(CI)工具,起源于Hudson(Hudson是商用的),主要用于持续、自动的构建/测试软件项目、监控外部任务的运行。Jenkins用Java语言编写,可在Tomcat等流行的servlet容器中运行,也可独立运行。通常与版本管理工具(SCM)、构建工具结合使用。常用的版本控制工具有SVN、GIT,构建工具有Maven、Ant、Gradle。 1.2 Jenkins的功能 Jenkins是一个基于J
Jenkins授权访问+命令执行
m0_49577923的博客
11-11 5734
前言 翻越高山需要迈出一个又一个简单的步伐 一、Jenkins简介 Jenkins是一个独立的、开放源码的自动化服务器,它可以用于自动化与构建、测试、交付或部署软件相关的各种任务。Jenkins是一个CI工具。它可以根据设定持续定期编译,运行相应代码;运行UT或集成测试;将运行结果发送至邮件,或展示成报告 二、Jenkins授权访问 由于Jenkins默认安装的时候管理员安全意识不高,没有配置密码,所以可以导致任意用户授权访问到控制页面并且可以对里面的配置进行修改。 正常页面应该是需
Web漏洞-授权访问漏洞
Ays.Ie的博客
03-21 3265
该篇记录了web漏洞-授权访问漏洞的相关知识
jenkins授权rce windows主机getshell
m0_46689007的博客
12-11 1249
由于windows环境,反弹shell不方便,试一下远程下载命令,这里面可以用powershell执行下载命令,从上面我们知道的web绝对路径,下载到根目录下。应该是环境原因连接不了webshell,试试windows环境下的反弹shell,因为目标主机可以执行下载命令,我们下载一个nc,访问存在,上传成功。查看”/dashboard/phpinfo.php”,为phpinfo页面,发现为win10系统,win10基本存在Windows Definder。ip先扫一下全端口,发现只有22,80,443。
Jenkins授权访问漏洞
qq_50854662的博客
07-08 1568
Jenkins授权访问漏洞
99-web漏洞挖掘之授权访问漏洞1
08-03
1、Redis授权访问 3、MongoDB授权访问 4、ZooKeeper 授权访问 5、Elasticsearch 授权访问 6、Memcache
python3的通过API授权多个用户访问多个仓库以及jenkins信息获取的脚本
09-30
通过gitlab的API设置允许多个用户访问多个仓库的权限,通过jenkins的API获取jenkins上的Job信息
权限分配与授权
04-30
shiro权限分配 1、理解基于资源的权限管理方法。 2、掌握权限管理的数据模型。 3、掌握不使用shiro开发基于url的权限管理方法。...5、掌握Shiro进行授权的常用方法。 掌握Shiro整合企业应用开发的方法。
Pipeline-aws-plugin:适用于AWS的Jenkins Pipeline Step插件
01-30
此插件针对具有主代理和多个代理的设置进行优化。 仅涉及工作空间的步骤在代理上执行,其余步骤在主服务器上执行。 为了获得最佳体验,请确保主代理和代理具有相同的IAM权限和联网功能。 从节点检索凭证 默认情况...
Jenkins(超详细的Docker安装Jenkins教程!!!)
最新发布
weixin_51971817的博客
05-03 1087
Jenkins(超详细的Docker安装Jenkins教程!!!)
Docker consul的容器服务更新与发现
YUEAwb的博客
04-29 899
consul是google开源的一个使用go语言开发的服务管理软件。支持多数据中心、分布式高可用的、服务发现和配置共享。采用Raft算法,用来保证服务的高可用。内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其他工具(比如ZooKeeper等)。服务部署简单,只有一个可运行的二进制的包。每个节点都需要运行agent,他有两种运行模式server 和 client。
Virtualbox7.0.10--创建虚拟机
醉殇姒若梦遗年 ツ的博客
04-29 422
6.完成后的界面,至此虚拟机新建完成。左侧是我们新建的虚拟电脑,右侧是它的一些配置项,右侧上方,我们可以点击【注册】进行导入一个操作系统的镜像,【启动】可以直接启动虚拟电脑。虚拟电脑名称为Ubuntu20.04,文件夹存放在D盘,虚拟光盘可以暂时不选,系统类型设置为Linux,版本设置为Ubuntu(64-bit),设置好以后单击“4.内存配置好后,就需要配置下硬盘了,主要是硬盘的容量,默认是25G,可以不改,直接。5.最后,再确认一下整体的配置,如果没有问题,可以直接点击“”,进入新建虚拟电脑页面。
用Typescript写自动化工作流
联蔚盘云的博客
04-29 1177
acao 的命令还有一些其他用法,比如指定执行某个 job 或者忽略依赖 通过命令行参数的方式注入等等,详细使用方式可以查看文档这个项目最近也在持续更新中,后续也会支持更多的预设,web ui 的操作方式也在计划中小伙伴想参与预设的开发也欢迎 pr 呀。
superset部署与实践
m0_60125201的博客
04-29 930
本博客简要介绍了superset这个BI工具,使用两种方法来部署superset,并简单介绍了superset的使用。
jenkins用户组
09-09
在Gitlab中创建的组可以用于管理Jenkins的权限。...3. 配置Jenkins授权策略,定义用户组的访问权限。 4. 配置Jenkins角色与授权,指定不同角色的用户权限。 5. 验证配置是否生效,确保用户组的权限设置正确。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值