Jenkins远程代码执行漏洞
1.资产查找
Fofa:title=”jenkins”
2.漏洞描述:
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台。Jenkins存在远程代码执行漏洞,漏洞成因是Jenkins平台提供了一个界面给使用者检查自己的Pipeline脚本,使用GroovyClassLoader.parseClass()来检查Pipeline脚本语法的正确性,攻击者构造特定的代码造成远程代码执行,攻击者通过该漏洞可获取服务器完全控制权限。
3.漏洞复现
(1)访问xx.xx.xx.150/script,进入脚本控制台界面;
(2)远程执行代码:println "whoami".execute().text