[漏洞复现](失败)vulfocus/jenkins-cve_2015_8103:latest-执行任意代码

最新推荐文章于 2024-05-31 11:19:49 发布
最新推荐文章于 2024-05-31 11:19:49 发布
阅读量446 收藏
点赞数
分类专栏: 漏洞复现 文章标签: jenkins 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45751902/article/details/128016027
版权

文章目录

一、简介

1.638之前的Jenkins和1.625.2之前的LTS中的Jenkins CLI子系统,存在着反序列化漏洞。通过此漏洞,未经身份验证的远程攻击者可以远程攻击者通过制作的序列化Java对象执行有问题的commons-collections。

二、影响版本

Jenkins<1.638
Jenkins LTS<1.625.2
利用条件:需要需要服务器开启CLI

三、复现

工具下载
复现失败,工具环境解决不了

四、修复

升级版本

空白行
关注
专栏目录
Jenkins反序列化漏洞复现
谢公子的博客
10-11 2078
Jenkins Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。 Jenkins功能包括: 持续的软件版本发布/测试项目。 监控外部调用执行的工作。 Jenkins曾经发生的反序列化漏洞CVE-2015-8103 CVE-2016-9299 CVE-2017-1000353 ...
Jenkins CLI 任意文件读取漏洞复现(CVE-2024-23897)
0xSec
01-26 2763
Jenkins是一个开源CI/CD工具,用于自动化开发流程,包括构建、测试和部署软件。 2024年1月,互联网公开了一个Jenkins任意文件读取漏洞。鉴于该漏洞易于利用,存在危害扩大的风险,且该系统数据较为敏感且影响范围广泛,建议所有使用Jenkins的企业尽快进行修复,以确保系统安全。
Jenkins漏洞利用复现
weixin_30564901的博客
09-26 802
一、未授权访问 访问url: http://172.16.20.134:8080/script 命令执行 println "ls -al".execute().text 也可以利用powershell 或者python脚本反弹shell 二、CVE-2018-1000861远程命令执行漏洞 payload...
jenkins漏洞集合
SHELLCODE_8BIT的博客
03-01 4744
复现文章和脚本大都是网上收集,大部分能找到出处的,个别找不到明确的地址。
[应用漏洞]Jenkins
不忘初心,护天下安全!
08-09 543
漏洞又遇到了,暂且把待学习的文章写一下,等不及我消化的童鞋直接看链接吧: https://devco.re/blog/2019/01/16/hacking-Jenkins-part1-play-with-dynamic-routing/ https://github.com/vulhub/vulhub/tree/master/jenkins/CVE-2018-1000861 ...
jenkins 漏洞集合 简介
whatday的专栏
06-04 1万+
目录 CVE-2015-8103 反序列化远程代码执行 CVE-2016-0788 Jenkins CI和LTS 远程代码执行漏洞 CVE-2016-0792 低权限用户命令执行 CVE-2016-9299 代码执行 CVE-2017-1000353 Jenkins-CI 远程代码执行 CVE-2018-1000110 用户枚举 CVE-2018-1000861 远程命令执行 CVE-2018-1999002 任意文件读取 CVE-2018-1000600 Jenkins GitHub 信
漏洞复现Jenkins反序列化漏洞CVE-2017-100035/ CVE-2018-1000861
weixin_45556536的博客
11-17 799
Jenkins反序列化漏洞利用CVE-2017-1000353基础知识漏洞原理影响版本复现思路复现CVE-2018-10008611、特征检测 基础知识   序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。   Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObject()方法用于反序列化。   形成漏洞的根源在于类ObjectInputStream在反序列
vulfocus漏洞复现-初级】solr 代码执行 (CVE-2019-12409)
ll_515的博客
01-20 2311
Apache Solr受影响的版本8.1.1和8.2.0在solr.in.sh配置文件中默认开启了ENABLE_REMOTE_JMX_OPTS配置项,即允许远程加载JMX,导致可远程代码执行
Jenkins RCE 漏洞CVE-2019-1003000) 复现
玄道的网安博客
09-24 3579
影响版本 Pipeline: Declarative Plugin up to and including 1.3.4 Pipeline: Groovy Plugin up to and including 2.61 Script Security Plugin up to and including 1.49 环境搭建 复现漏洞CVE-2019-1003000 (Script Security) 测试环境需要安装docker git clone https://github.com.
Jenkins远程命令执行漏洞
m0_48520508的博客
12-23 536
0x00简介 Jenkins自动化部署可以解决集成、测试、部署等重复性的工作,工具集成的效率明显高于人工操作;并且持续集成可以更早的获取代码变更的信息,从而更早的进入测试阶段,更早的发现问题,这样解决问题的成本就会显著下降:持续集成缩短了从开发、集成、测试、部署各个环节的时间,从而也就缩短了中间出现的等待时间;持续集成也意味着开发、集成、测试、部署得以持续。 0x01漏洞概述 Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者
一款Jenkins的综合漏洞利用工具-JenkinsExploit-GUI
siu~
03-15 2047
一款Jenkins的综合漏洞利用工具
一文1500字从0到1搭建 Jenkins 自动化测试平台
m0_58026506的博客
07-26 748
基于以上,我们的工作场景就梳理出来:git和jenkins的环境搭建,jenkins插件安装,jenkins系统配置,jenkins构建项目设置触发器。6、web,app,接口自动化 ,7、性能测试 ,8、编程基础,9、hr面试题 ,10、开放性测试题,11、安全测试,12、计算机基础。被百万人刷爆的软件测试题库!1、软件测试基础理论 ,2、web,app,接口功能测试 ,3、网络 ,4、数据库 ,5、linux。2、Jenkins检测到提交后,要自动拉取代码,运行测试,并进行构建、打包。
【护网必备】Jenkins综合漏洞的利用工具
最新发布
Fly_鹏程万里
05-31 531
CVE-2015-8103/CVE-2016-0788 Jenkins 反序列化远程代码执行 https://github.com/Medicean/VulApps/tree/master/j/jenkins/1。CVE-2024-23897 Jenkins CLI 接口任意文件读取漏洞 https://github.com/vulhub/vulhub/blob/master/jenkins/CVE-2024-23897。本开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。
Vulfocus靶场漏洞复现系列—1
tlovejr的博客
03-02 6060
文章目录 前言 一、pandas是什么? 二、使用步骤 总结 前言 接下来会给大家介绍一些最常见的复现漏洞过程,我所用的是Vulfocus靶场,靶场安装方法已经在上一篇文章讲过,大家可以自行去观看。如果大家想及时获取最新漏洞消息,大家可以直接cnvdhttps://www.cnvd.org.cn/去查看即可,小白入门,如果在博客中有什么错误,还请各位大佬指出。 一、Drupal远程代码执行漏(CVE-2019-6340) 1、漏洞介绍 Drupal官方之前更新了一个非常关键的安全补丁,
Jenkins远程命令执行漏洞CVE-2018-1000861)
网络安全。
05-23 3193
漏洞复现 1、查看目标版本。 curl -s -I http://xxx:8080| grep X-Jenkins 2、利用工具。 https://github.com/orangetw/awesome-jenkins-rce-2019 usage: python2.7m exp.py http://target.com ‘curl b2x6ay.dnslog.cn’ 3、成功接收dnslog。 ...
jenkins未授权访问漏洞总结
qq_45746681的博客
10-05 635
jenkins未授权访问漏洞复现 0x00 漏洞描述 未授权访问管理控制台,可以通过脚本命令行执行系统命令。通过该漏洞,可以后台管理服务,通过脚本命令行功能执行系统命令,如反弹shell,wget写webshell文件。 0x01 漏洞环境搭建(win10) 官方下载jenkins-1.620.zip,下载地址:http://mirrors.jenkins.io 运行setup.exe,安装即可,安装成功后在任务管理器中运行jenkins服务 之后访问http://localhost:8080即可 0x0
CVE-2015-3636
koozxcv的博客
03-26 7194
最近这今年,寻找一个android系统上可通用使用的root提权漏洞变得越来越困难,一方面是因为android系统的碎片化十分严重,另一方面是因为android系统上的漏洞缓冲机制在不断的引入。在这篇文章中我将为大家简单的讲述一下CVE-2015-3636这个漏洞的poc和exploit。其实要去稳定和有效的去利用这样一个漏洞并不是一件容易的事情,我们一步一步的来看。 0.漏洞概述: 漏洞属于
CVE-2015-5254(ActiveMQ反序列化漏洞复现)
Sea_Sand息禅
07-13 2955
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。 Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者...
CVE-2015-4852 java 反序列化漏洞--weblogic补丁
热门推荐
水滴石穿
01-04 2万+
    CVE-2015-4852 Patch Availability Document for Oracle WebLogic Server Component of Oracle Fusion Middleware (Doc ID 2075927.1) To Bottom APPLIES TO: PeopleSoft Enterprise PT Peo...
docker run -d --name jenkins -p 8040:8080 -p 50000:50000 -v /data/jenkins_home:/var/jenkins_home jenkins/jenkins:lts
07-28
docker run -d --name jenkins -p 8040:8080 -p 50000:50000 -v /data/jenkins_home:/var/jenkins_home jenkins/jenkins:lts 这个命令会在后台运行一个jenkins容器,并将主机的8040端口映射到容器的8080端口,同时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值