jenkins 未授权访问-任意命令执行

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了jenkins 未授权访问-任意命令执行相关的知识,希望对你有一定的参考价值。

jenkins 未授权访问-任意命令执行

0x00 jenkins简介

enkins是一个功能强大的应用程序,允许持续集成和持续交付项目,无论用的是什么平台。这是一个免费的源代码,可以处理任何类型的构建或持续集成。集成Jenkins可以用于一些测试和部署技术。Jenkins是一种软件允许持续集成。

0x01 漏洞原因

jenkins 未设置帐号密码,或者使用了弱帐号密码

0x02 漏洞复现

在默认情况下Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,×××者可通过未授权访问漏洞或者暴力破解用户密码等进脚本执行界面从而获取服务器权限。
任意命令执行界面:
http://ip:port/script

println "ifconfig".execute().text

技术分享图片

以上是关于jenkins 未授权访问-任意命令执行的主要内容,如果未能解决你的问题,请参考以下文章

Jenkins 未授权远程代码执行漏洞(CVE-2017-1000353)

漏洞分析|SaltStack未授权访问及命令执行漏洞分析(CVE-2020-16846/25592)

Jenkins弱口令扫描器

关于redis未授权访问说法不正确的是

中间件安全-jenkins未授权访问

中间件安全-jenkins未授权访问