Jenkins综合漏洞的利用工具

工具介绍
Jenkins的综合漏洞利用工具

环境说明

在windows或linux使用jdk8的哪一个版本应该都可以，在macOS里如果出现了找不到主类的错误，可能是因为当前java版本没有jfxrt.jar包，可以把这个jar包放在类似F:java8jdk1.8.0_102jrelibext这样的目录下，jfxrt.jar包在JenkinsExploit-GUI项目源码中可以单独下载下来，如果是linux或macOS的话需要对外置payload进行chmod +x 赋予权限

检测支持

目前工具支持一下漏洞的检测：

• CVE-2015-8103/CVE-2016-0788 Jenkins 反序列化远程代码执行 https://github.com/Medicean/VulApps/tree/master/j/jenkins/1
• CVE-2016-0792 Jenkins XStream反序列化远程代码执行 https://github.com/jpiechowka/jenkins-cve-2016-0792
• CVE-2017-1000353 Jenkins-CI 远程代码执行漏洞 https://github.com/vulhub/CVE-2017-1000353
• CVE-2018-1000600 Jenkins GitHub SSRF+信息泄露
• CVE-2018-1000861 Jenkins 绕过Groovy沙盒未授权命令执行漏洞 https://github.com/orangetw/awesome-jenkins-rce-2019
• CVE-2018-1999002 Jenkins 任意文件读取 https://mp.weixin.qq.com/s/MOKeN1qEBonS8bOLw6LH_w
• CVE-2019-1003000 Jenkins 远程代码执行 https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc
• CVE-2019-1003005/CVE-2019-1003029 远程代码执行(Script Security Plugin沙箱绕过) https://github.com/orangetw/awesome-jenkins-rce-2019
• CVE-2024-23897 Jenkins CLI 接口任意文件读取漏洞 https://github.com/vulhub/vulhub/blob/master/jenkins/CVE-2024-23897

工具使用

DNSLog

进行dnslog设置,目前仅支持dnslog.pw和ceye.io

免责声明

本开源工具是由作者按照开源许可证发布的，仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任

原文始发于微信公众号（七芒星实验室）：【护网必备】Jenkins综合漏洞的利用工具