首页 > 渗透测试 > Jenkins远程代码执行漏洞(CVE-2017-1000353)
2017
05-03

Jenkins远程代码执行漏洞(CVE-2017-1000353)

Jenkins的又一java反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限。

有关漏洞的原理分析可以见下文:

SSD Advisory – CloudBees Jenkins Unauthenticated Code Execution

看到其它文章中介绍受影响的范围:

  • 影响低于 2.56 的所有 Jenkins 主线版本
  • 影响低于 2.46.1 的所有 Jenkins LTS 版本

我搭建了多个测试环境,分别是jenkins 2.3、jenkins 2.31都没有复现成功,使用jenkins 2.32.1成功复现。利用老外文章的代码,导出成payload.jar包,用来生成攻击用的payload文件。可以自定义需要执行的命令:

java -jar payload.jar jenkins_poc1.ser "/usr/bin/touch /tmp/jenkinsTestNxadmin"

然后利用老外提供的python脚本向jenkins服务器提交post请求,就可以成功在被攻击服务器/tmp目录下生成文件。也可以使用dnslog之类的来测试,如图:

Jenkins远程代码执行漏洞(CVE-2017-1000353) - 第1张  | 阿德马Web安全

Jenkins远程代码执行漏洞(CVE-2017-1000353) - 第2张  | 阿德马Web安全

修复建议:

  • Jenkins 主线版本升级到 2.57
  • Jenkins LTS 版本 2.46.2

参考链接:

http://www.securityfocus.com/bid/98056/info

https://cloud.chaitin.cn/vul/detail?id=54d88f5e-afb5-4912-9824-0c53791cc396

最后编辑:
作者:admin
这个作者貌似有点懒,什么都没有留下。

Jenkins远程代码执行漏洞(CVE-2017-1000353)》有 2 条评论

  1. 小莫 说:

    那个jenkins_poc1.ser是什么东西啊?怎么得到的啊?望能解惑,感谢!

  2. admin 说:

    使用jar包生成的这个文件,这个文件包含了需要执行的命令~

留下一个回复

你的email不会被公开。