Jenkins CLI 任意文件读取漏洞检查工具

最新推荐文章于 2024-06-17 17:56:39 发布
最新推荐文章于 2024-06-17 17:56:39 发布
阅读量401 收藏 6
点赞数 10
文章标签: jenkins 网络安全 测试工具 java 个人开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bobo_patrick/article/details/136797569
版权

0x01 漏洞简介

漏洞编号: CVE-2024-23897

问题出在args4j 库解析参数时会把@后的字符串作为文件名去读取文件,且此功能默认启用

0x02 漏洞影响版本

Jenkins weekly <= 2.441、Jenkins LTS <= 2.426.2

0x03 漏洞环境搭建

vulhub环境搭建即可,fofa: app="Jenkins"

图片

0x04 漏洞复现

需要发送两个请求,一个是上传请求,一个是下载请求,并且下载请求必须在上传请求之前。注意上传请求中的请求体是字节数据

图片

0x05 漏洞修复建议

升级到安全版本

0x06 工具

单个检测

图片

批量检测

图片

漏洞利用

图片

工具下载地址:https://github.com/charonlight/JenkinsExploitGUI

Sec探索者
关注
  • 10
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Jenkins CLI 任意文件读取漏洞检查工具,分享面经
2401_84103191的博客
04-03 856
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。va、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**到此为止,大概1个月的时间。
Jenkins CLI 任意文件读取漏洞检查工具,极其重要
m0_60721823的博客
04-05 396
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**工具下载地址:https://github.com/charonlight/JenkinsExploitGUI。
Jenkins CLI 任意文件读取漏洞检查工具,2024年网络安全面经分享
2401_83739411的博客
04-15 315
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
Jenkins CLI 任意文件读取漏洞检查工具(1),网络安全学习的三个终极问题及学习路线规划
2401_84166567的博客
04-09 899
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Jenkins CLI 任意文件读取漏洞检查工具(1)
2401_83947255的博客
05-15 364
漏洞编号: CVE-2024-23897问题出在args4j 库解析参数时会把@后的字符串作为文件名去读取文件,且此功能默认启用。
Jenkins CLI 任意文件读取漏洞检查工具,2024年最新你掌握了多少
2401_84166567的博客
04-09 358
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Jenkins CLI 任意文件读取漏洞检查工具,2024年最新看完我工资从12K变成了20K
2401_83974142的博客
04-17 237
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Jenkins CLI 任意文件读取漏洞检查工具(1),终于有人把网络安全程序员必学知识点全整理出来了
2401_83974117的博客
04-17 275
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。需要发送两个请求,一个是上传请求,一个是下载请求,并且下载请求必须在上传请求之前。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
CVE-2024-23897 Jenkins 任意文件读取漏洞
LJQClqjc的博客
01-26 2926
Jenkins 有一个内置的命令行界面CLI,在处理 CLI 命令时Jenkins 使用args4j 库解析 Jenkins 控制器上的命令参数和选项。此命令解析器具有一个功能,可以将@参数中后跟文件路径的字符替换为文件内容 ( expandAtFiles)。根据Jenkins 官方描述,具有Overall/Read权限的攻击者可以读取整个文件,未授权的攻击者仅能读取文件前几行内容。攻击者可以通过读取jenkins文件获取相关密钥从而实现命令执行。
Jenkins CLI v0.0.31
12-08
为您提供Jenkins CLI下载,Jenkins CLI 可以帮忙你轻松地管理 Jenkins。不管你是一名插件开发者、管理员或者只是一个普通的 Jenkins 用户,它都是为你而生的!特性:支持多 Jenkins 实例管理插件管理(查看列表、...
Jenkins CLI-其他
06-12
Jenkins CLI 可以帮忙你轻松地管理 Jenkins。不管你是一名插件开发者、管理员或者只是一个普通的 Jenkins 用户,它都是为你而生的! 特性: 支持多 Jenkins 实例管理 插件管理(查看列表、搜索、安装、上传) 任务...
jenkins-cli:通过Jenkins CLI,您可以轻松管理Jenkins
01-30
快速开始詹金斯CLI Jenkins CLI使您可以轻松管理Jenkins。 无论您是插件开发人员,管理员还是普通用户,它都是为您量身定制的!产品特点多种詹金斯支持插件管理(列表,搜索,安装,上传) 作业管理(搜索,构建,...
jcli-repo:Jenkins CLI存储库
03-03
Jenkins CLI存储库这是的存储库。 通过以下URL下载特定版本的jcli: 作业系统网址苹果系统wget ...
jenkins-cli.jar
01-30
用于执行jenkins cli命令的jar包
Jenkins+K8s】持续集成与交付 (二十):K8s集群通过Deployment方式部署安装Jenkins
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
06-11 2323
本文将介绍如何在 Kubernetes 集群上安装和配置 Jenkins
【保姆级】Linux 基于 Docker 部署 ES7.7.0 elasticsearch7.7.0
最新发布
SongYu的博客
06-17 157
【保姆级】Linux 基于 Docker 部署 ES7.7.0 elasticsearch7.7.0
在Elasticsearch中-SpaceJam一个全文搜索的实例
靡不有初,鲜克有终
06-13 465
在Elasticsearch中进行全文搜索通常涉及几个步骤:创建索引、定义映射、索引文档、执行搜索查询。在这个映射中,我们使用了`english`分析器来处理`title`和`description`字段,使用`standard`分析器来处理`director`字段。通过这个"SpaceJam"的实例,我们可以看到Elasticsearch如何用于全文搜索,包括创建索引、定义映射、索引文档以及执行搜索查询。这个响应显示了搜索查询找到了一个匹配的文档,并且提供了文档的得分和原始内容。
自动化Jenkins cli
02-23
Jenkins CLI(Command Line Interface)是Jenkins提供一种命令行工具,用于与Jenkins进行交互和自动化操作。通过Jenkins CLI,可以通过命令行执行各种Jenkins操作,如创建、配置和构建任务,管理节点和插件等。 要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值