Jenkins远程代码执行漏洞

最新推荐文章于 2024-04-27 16:15:51 发布
最新推荐文章于 2024-04-27 16:15:51 发布
阅读量1.5k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36197704/article/details/108451379
版权

1.资产查找

Fofa:title=”jenkins”

2.漏洞描述:

       Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台。Jenkins存在远程代码执行漏洞,漏洞成因是Jenkins平台提供了一个界面给使用者检查自己的Pipeline脚本,使用GroovyClassLoader.parseClass()来检查Pipeline脚本语法的正确性,攻击者构造特定的代码造成远程代码执行,攻击者通过该漏洞可获取服务器完全控制权限。

3.漏洞复现

(1)访问xx.xx.xx.150/script,进入脚本控制台界面;

(2)远程执行代码:println "whoami".execute().text

 

chaojixiaojingang
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jenkins远程命令执行漏洞
m0_48520508的博客
12-23 464
0x00简介 Jenkins自动化部署可以解决集成、测试、部署等重复性的工作,工具集成的效率明显高于人工操作;并且持续集成可以更早的获取代码变更的信息,从而更早的进入测试阶段,更早的发现问题,这样解决问题的成本就会显著下降:持续集成缩短了从开发、集成、测试、部署各个环节的时间,从而也就缩短了中间出现的等待时间;持续集成也意味着开发、集成、测试、部署得以持续。 0x01漏洞概述 Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者
jenkins 执行远程linux命令
08-15
jenkins 执行远程linux命令,jenkins 执行远程linux命令,jenkins 执行远程linux命令
[工具使用]黑暗引擎FOFA
热门推荐
网络安全知识分享
08-29 3万+
黑暗引擎FOFAFOFA(点我进入)逻辑运算符搜索子域名domain搜索指定内容的host全部域名bodycert搜索选定应用的网站搜索指定开放端口的IP搜索指定协议的IP搜索IP或者网段的信息搜索指定CSS/JS网站常用的一些内容其他 FOFA(点我进入) 官网这样描述:FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。 简单理解就是,一个本土加强版shodan,知道某产品在互联网的部署情况、
漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞
最新发布
2401_84281712的博客
04-27 758
该方法中功能包含一个Command类的readFrom()方法,会对传入的字节流进行操作,从而导致了反序列化代码执行
CVE-2024-23897复现及IDS中snort防御规则制定
2401_82670286的博客
01-30 2316
CVE-2024-23897是一个涉及Jenkins未授权文件读取的漏洞。它利用了Jenkins命令行接口(CLI)的特性,其中CLI使用args4j库解析命令行参数。args4j库具有一个特点,即当命令行参数以@字符开头时,该参数会被视为文件路径,并将该文件内容读取作为参数。利用这一特性,攻击者可以通过Jenkins CLI读取Jenkins服务器上的任意文件。这段代码的主要问题在于它处理以字符开头的命令行参数时,会尝试将其视为文件路径,并读取该文件的内容。具体来说,如果参数以。
Jenkins远程命令执行漏洞 CVE-2018-1000861 漏洞复现
ADummy的博客
03-04 534
Jenkins远程命令执行漏洞(CVE-2018-1000861) by ADummy 0x00利用路线 ​ 直接url执行 0x01漏洞介绍 ​ Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。 通过这个漏洞,我们可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授权用户可执行任意命令:Jenkins在沙盒中执行Groovy前会先检查脚本是
[漏洞复现] jenkins 远程代码执行 (CVE-2019-100300)
qq_45751902的博客
11-24 1882
拥有Overall/Read 权限的用户可以绕过沙盒保护,在jenkins可以执行任意代码。此漏洞需要一个账号密码和一个存在的job。Jenkins的pipeline主要是通过一个配置文件或者job里面的pipeline脚本配置来设定每个job的步骤. pipeline定义了几乎所有要用到的流程, 比如执行shell, 存档, 生成测试报告, 发布报告等。
jenkins2.289.1版本远程命令执行漏洞
山兔的博客
11-13 2887
在网络安全行业中,有一种方法可以识别、定义和编目公开披露的漏洞。这种类型的标识称为CVE,代表常见漏洞和披露。分析后,为每个漏洞分配一个严重等级,称为 CVSS 分数,范围从 0 到 10,其中 0 表示信息,10 表示严重。这些分数取决于几个因素,其中一些是 CIA 的危害级别(机密性、完整性、可用性)、攻击复杂程度、攻击面的大小等。在计算机安全中,任意代码执行 (ACE) 是攻击者在目标计算机或目标进程中执行任意命令或代码的能力。[…]旨在利用此类漏洞的程序称为任意代码执行漏洞
漏洞复现----6、Jenkins远程命令执行漏洞(CVE-2018-1000861)
七天
11-25 4346
文章目录一、Jenkins简介二、CVE-2018-1000861简介三、漏洞复现 一、Jenkins简介 Jenkins是一个独立的开源自动化服务器,由JAVA开发。 可用于自动化各种任务,如构建,测试和部署软件;也可以根据设定持续定期编译,运行相应代码;运行UT或集成测试;将运行结果发送至邮件,或展示成报告等。 Jenkins可以通过本机系统包Docker安装,也可以通过安装Java Runtime Environment的任何机器独立运行。 在很多中大型金融企业中普遍使用Jenkins来作为项目发
Jenkins远程部署war包过程图解
08-19
主要介绍了Jenkins远程部署war包过程图解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Jenkins代码管理SVN实现步骤解析
09-07
主要介绍了Jenkins代码管理SVN实现步骤解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
jenkins远程启动服务
05-22
jenkins远程启动服务, java jar包的方式启动的(springboot项目), 不被jenkins自己的进程杀死
jenkins远程发布脚本
07-10
用于jenkins远程发布使用的脚本, 包含jar包备份 ,启动服务 ,清除多余的jar包, 根据名称关闭java进程等
Jenkins远程命令执行漏洞(CVE-2018-1000861)
EC_Carrot的博客
07-05 385
漏洞复现 只需要访问以下网址即可执行命令: http://your-ip:8080/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript ?sandbox=true &value=public class x { public x(){ "touch /tmp/success".execute(
Jenkins升级-- 无条件远程代码执行高危漏洞
skypig555的专栏
03-14 809
起因 早上收到阿里云的安全中心的电话,说检测到我们部分服务器使用了Jenkins,存在严重的安全漏洞。希望我们购买他们的安全防火墙,或者自己升级Jenkins。购买当然是不可能的拉。马上开始Jenkins升级。 硬货 停止之前的老版本 既然有漏洞,就先把老的版本服务停了。 安装新版本 这边我用的是docker-compose进行安装。docker和docker-compose的安装,自行百度。 v...
Jenkins 远程代码执行漏洞(CVE-2017-1000353) 复现
YouthBelief的博客
11-25 4778
所有文章,仅供安全研究与学习之用,后果自负! Jenkins 远程代码执行漏洞(CVE-2017-1000353)Jenkins 远程代码执行漏洞(CVE-2017-1000353)0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 Jenkins 远程代码执行漏洞(CVE-2017-1000353) 0x01 漏洞描述 Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误检查和内置帮助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交
Jenkins功能未授权访问导致的远程命令执行漏洞
limb0的博客
11-21 3264
Jenkins功能未授权访问导致的远程命令执行漏洞 一、漏洞介绍 Jenkins管理登陆之后,后台”系统管理”功能,有个”脚本命令行的”功能,它的作用是执行用于管理或故障探测或诊断的任意脚本命令,利用该功能,可以执行系统命令,该功能实际上Jenkins正常的功能,由于很多管理账号使用了弱口令,或者管理后台存在未授权访问,导致该功能会对Jenkins系统服务器产生比较严重的影响和危害。 二、漏洞危害...
漏洞分析|死磕Jenkins漏洞回显与利用效果
m0_46699477的博客
06-28 1243
本文以 Jenkins 反序列化漏洞作为优化案例,分享我们的解决漏洞问题的方式。
jenkins扫描代码执行测试类
11-03
根据提供的引用内容,我们可以知道Jenkins可以执行代码扫描,但是并没有提到如何执行测试类。一般来说,执行测试类需要在Jenkins中配置相应的构建步骤,例如使用Maven或Gradle构建工具来执行测试类。具体步骤如下: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值