jenkins java反序列化_Jenkins “Java 反序列化”过程远程命令执行漏洞

最新推荐文章于 2024-05-11 14:44:43 发布
最新推荐文章于 2024-05-11 14:44:43 发布
阅读量251 收藏
点赞数
文章标签: jenkins java反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42565755/article/details/114138694
版权

###漏洞原理

反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列化对象数据,而在反序列化时并没有限制实例化对象的类型,导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例化。

Java 在进行反序列化操作的时候会使用 ObjectInputStream 类调用 readObject() 方法去读取传递过来的序列化对象字节流进行处理,要想利用反序列化过程进行攻击,就必须构造出一个能够自动执行的代码调用链。而议题《Marshalling Pickles》中巧好就使用 Apache Commons Collections 库构造出了一个能够在反序列化操作时能够自动执行命令的调用链。具体构造详情可参考原议题PPT。

### 漏洞影响

> ZoomEye 进行了全球的探测,发现全球运行着 jenkins 的服务器大概有1.5万台,其中有1811台 jenkins 被确定有漏洞。

###漏洞演示

使用 Payload 生成工具 ysoserial 和 PoC 来对 Jenkins 进行测试。(成功远程命令执行会在服务端 /tmp 目录下创建名为 isvuln 文件)

```

- Jenkins-1.555

```

启动 Jenkins,并检查 /tmp 目录文件

![](https://images.seebug.org/1447211427766)

使用工具生成 Payload,然后使用文中所提供的 PoC 进行漏洞测试:

![](https://images.seebug.org/1447211434060)

再次查看服务器上 /tmp 目录下文件

![](https://images.seebug.org/1447211439652)

服务端在反序列化恶意构造的数据时导致命令执行,在 /tmp 目录下创建了 isvuln 文件。

---

#### 关联漏洞链接

1. JBoss “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89723

2. WebLogic “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89726

3. WebSphere “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89727

4. 常见 Java Web 容器通用远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89713

#### 参考链接

1. http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/

2. https://access.redhat.com/solutions/2045023

3. http://d.hatena.ne.jp/Kango/touch/20151110/1447175137?from=singlemessage&isappinstalled=0

loading-bars.svg

江湖小发
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jenkins 序列漏洞 cve-2017-1000353
whatday的专栏
06-13 1448
一、漏洞原理: 首先这是一个java序列漏洞,一定是command在序列信息中,序列时候直接执行了该命令。 攻击过程学习: 下文的session是一个uuid,类型4 # 可以如下生成 session = uuid.uuid4() 1、首先要发送一个请求,是一个下载请求。这个请求是要启动一个双向数据传输频道。频道的标识就是session。而side字段则是用来标识传输方向 对应代码段: def Download(url,session): headers = {'Si
漏洞复现—Jenkins序列漏洞CVE-2017-100035/ CVE-2018-1000861
weixin_45556536的博客
11-17 625
Jenkins序列漏洞利用CVE-2017-1000353基础知识漏洞原理影响版本复现思路复现—CVE-2018-10008611、特征检测 基础知识   序列就是把对象转换成字节流,便于保存在内存、文件、数据库中;序列即逆过程,由字节流还原成对象。   Java中的ObjectOutputStream类的writeObject()方法可以实现序列,ObjectInputStream类的readObject()方法用于序列。   形成漏洞的根源在于类ObjectInputStream在序列
2024年最新漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞,997页字节跳动网络安全面试真题解析火爆全网
最新发布
2401_84544714的博客
05-11 722
【代码】2024年最新漏洞分析|死磕Jenkins漏洞回显与利用效果_jenkins 漏洞,997页字节跳动网络安全面试真题解析火爆全网。
漏洞分析|死磕Jenkins漏洞回显与利用效果
m0_46699477的博客
06-28 1273
本文以 Jenkins 序列漏洞作为优案例,分享我们的解决漏洞问题的方式。
Jenkins序列代码执行
xmas
05-10 1476
# -*- encoding:utf-8 -*- import socket import base64 import random import urllib2 import time import binascii def random_str(len): str1="" for i in range(len): str1+=(random.choice(
java序列利用工具
07-06
Java序列是一种将已序列的对象状态转换回对象的过程,通常用于持久数据或在网络间传输对象。在Java中,这一过程涉及到`java.io.ObjectInputStream`类,它能够读取由`java.io.ObjectOutputStream`写入的字节...
Java序列攻击
01-21
Java 序列攻击漏洞由FoxGlove 的近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。  由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,...
java序列利用
08-31
Java序列是一种将已序列的对象状态转换回对象的过程,通常用于持久数据或在网络间传输对象。在Java中,这一过程通过实现Serializable接口并在需要时调用ObjectInputStream的readObject()方法来完成。然而,...
JAVA序列漏洞知识点整理
01-20
导致攻击者注入的恶意序列数据在序列过程中被还原成对象,控制了对象可能在目标系统上面执行攻击代码,而不可信的输入和未检测序列对象的安全性是导致序列漏洞的常见原因。Java序列常应用于RMI(Java...
Python+yaml+mysql+钉钉通知+Jenkins实现的接口自动源代码.zip
09-10
YAML(Yet Another Markup Language)是一种数据序列语言,常用于配置文件。在这个项目中,YAML可能被用来定义接口测试用例,包括URL、请求方法、参数等信息,方便读取和管理测试数据。 3. **MySQL**: MySQL是...
序列测试工具 ysoserial-master-v0.0.5 打包
05-21
用法 java -cp ysoserial-master-v0.0.5 ysoserial.exploit.RMIRegistryExploit 192.168.192.118 1099 CommonsCollections1 "notepad.exe"
Jenkins中通过脚本无法启动java进程-踩坑
平底锅3号
03-15 1712
Jenkins中通过脚本无法启动java进程-踩坑过程 先是看了这个文章,原因搞明白了:Jenkins中通过execute shell无法启动进程-解决方案合集_fendo-CSDN博客_jenkins nohup无效 但是试了之后,没有解决, 最后是在脚本头部加入 :source /etc/profile 解决! ...
jenkins java序列_Jenkins Java 序列远程执行代码漏洞(CVE-2017-1000353)
weixin_31308407的博客
02-13 199
Jenkins Java 序列远程执行代码漏洞(CVE-2017-1000353)一、漏洞描述该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。二、漏洞影响版本所有jenkins主版本均受到影响(包括<=2.56版本)所有的jenkins LTS均受到影响(包括&lt...
Jenkins序列漏洞复现
谢公子的博客
10-11 2034
Jenkins Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。 Jenkins功能包括: 持续的软件版本发布/测试项目。 监控外部调用执行的工作。 Jenkins曾经发生的序列漏洞: CVE-2015-8103 CVE-2016-9299 CVE-2017-1000353 ...
Jenkins Java 序列远程执行代码漏洞(CVE-2017-1000353)
WY92139010的博客
08-05 641
Jenkins Java 序列远程执行代码漏洞(CVE-2017-1000353) 一、漏洞描述 该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。 二、漏洞影响版本 所有jenkins主版本均受到影响(包括<=2.56版本) 所有的jenkins...
Jenkins远程命令执行漏洞 CVE-2018-1000861 漏洞复现
ADummy的博客
03-04 542
Jenkins远程命令执行漏洞(CVE-2018-1000861) by ADummy 0x00利用路线 ​ 直接url执行 0x01漏洞介绍 ​ Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。 通过这个漏洞,我们可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授权用户可执行任意命令Jenkins在沙盒中执行Groovy前会先检查脚本是
Commons Collections Java序列漏洞深入分析
大树叶 技术专栏
04-27 1万+
http://www.myhack58.com/Article/html/3/62/2015/69493.htm 今年目前为止Java方面影响力最大的漏洞莫过于这段时间持续火热的CommonsCollections序列漏洞了。 在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java序列和Apache Com
序列漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
序列漏洞汇总1、概述序列是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久存储。 Java 序列是指把 Java 对象转换为字节序列过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列序列是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
weblogic序列原理
06-09
攻击者可以使用一些常见的Java开发框架,如Apache Commons Collection、JBoss、Jenkins,通过构造恶意的序列数据,来利用该漏洞实现远程代码执行。因此,建议在使用WebLogic服务器时,及时升级到最新版本,同时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值