一切福田,不離方寸,從心而覓,感無不通。

Jenkins远程代码执行漏洞检查(CVE-2017-1000353)

Jenkins的反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限

漏洞影响范围:

所有Jenkins主版本均受到影响(包括<=2.56版本)
所有Jenkins LTS 均受到影响( 包括<=2.46.1版本)

测试步骤:

1.下载生成反序列的payload:

https://github.com/nobleXu/jenkins

2.生成一个jenkins_poc1.ser反序列文件

java  -jar  jenkins_payload.jar  jenkins_poc1.ser  "ping www.baidu.com"

3.下载jenkins.py文件:

下载链接: https://pan.baidu.com/s/1misPilU 密码: 6qqh

4.编辑jenkins.py文件,修改url地址:

 

5.执行jenkins.py:

python3  exploit.py

6.通过dnslog可以看到反序列请求日志记录:

 

测试总结:

Jenkins运行环境是在linux下,win环境利用不成功

参考文献:

https://github.com/phith0n/vulhub/tree/master/jenkins/CVE-2017-1000353

https://blogs.securiteam.com/index.php/archives/3171

https://xianzhi.aliyun.com/forum/read/1567.html

 

from:https://www.cnblogs.com/backlion/p/6813260.html