Jenkins综合漏洞的利用工具

admin 2024年7月4日08:08:16评论31 views字数 1298阅读4分19秒阅读模式

工具介绍
Jenkins的综合漏洞利用工具

环境说明

在windows或linux使用jdk8的哪一个版本应该都可以,在macOS里如果出现了找不到主类的错误,可能是因为当前java版本没有jfxrt.jar包,可以把这个jar包放在类似F:java8jdk1.8.0_102jrelibext这样的目录下,jfxrt.jar包在JenkinsExploit-GUI项目源码中可以单独下载下来,如果是linux或macOS的话需要对外置payload进行chmod +x 赋予权限

检测支持

目前工具支持一下漏洞的检测:

  • CVE-2015-8103/CVE-2016-0788 Jenkins 反序列化远程代码执行 https://github.com/Medicean/VulApps/tree/master/j/jenkins/1
  • CVE-2016-0792 Jenkins XStream反序列化远程代码执行 https://github.com/jpiechowka/jenkins-cve-2016-0792
  • CVE-2017-1000353 Jenkins-CI 远程代码执行漏洞 https://github.com/vulhub/CVE-2017-1000353
  • CVE-2018-1000600 Jenkins GitHub SSRF+信息泄露
  • CVE-2018-1000861 Jenkins 绕过Groovy沙盒未授权命令执行漏洞 https://github.com/orangetw/awesome-jenkins-rce-2019
  • CVE-2018-1999002 Jenkins 任意文件读取 https://mp.weixin.qq.com/s/MOKeN1qEBonS8bOLw6LH_w
  • CVE-2019-1003000 Jenkins 远程代码执行 https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc
  • CVE-2019-1003005/CVE-2019-1003029 远程代码执行(Script Security Plugin沙箱绕过) https://github.com/orangetw/awesome-jenkins-rce-2019
  • CVE-2024-23897 Jenkins CLI 接口任意文件读取漏洞 https://github.com/vulhub/vulhub/blob/master/jenkins/CVE-2024-23897

工具使用

Jenkins综合漏洞的利用工具

Jenkins综合漏洞的利用工具

DNSLog

进行dnslog设置,目前仅支持dnslog.pw和ceye.io

Jenkins综合漏洞的利用工具

免责声明

本开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任

下载地址

https://github.com/TheBeastofwar/JenkinsExploit-GUI

https://github.com/TheBeastofwar/JenkinsExploit-GUI

原文始发于微信公众号(七芒星实验室):【护网必备】Jenkins综合漏洞的利用工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月4日08:08:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Jenkins综合漏洞的利用工具http://cn-sec.com/archives/2803733.html

发表评论

匿名网友 填写信息