Jenkins远程代码执行漏洞

1.资产查找

Fofa:title=”jenkins”

2.漏洞描述:

       Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台。Jenkins存在远程代码执行漏洞,漏洞成因是Jenkins平台提供了一个界面给使用者检查自己的Pipeline脚本,使用GroovyClassLoader.parseClass()来检查Pipeline脚本语法的正确性,攻击者构造特定的代码造成远程代码执行,攻击者通过该漏洞可获取服务器完全控制权限。

3.漏洞复现

(1)访问xx.xx.xx.150/script,进入脚本控制台界面;

Jenkins远程代码执行漏洞_第1张图片

(2)远程执行代码:println "whoami".execute().text

Jenkins远程代码执行漏洞_第2张图片

 

你可能感兴趣的:(Jenkins远程代码执行漏洞)