【Jenkins未授权访问漏洞 】

默认情况下 Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。

第一步:使用fofa语句搜索

搜索语句:

port="8080" && app="JENKINS" && title=="Dashboard Jenkins"

一个一个搜索,直到出现 Manage Jenkins,在打开的URL中...点击 Manage Jenkins

Scritp Console 再执行以下命令.

第二步:点进去后,页面往下翻看到Scritp Console------点击。

第三步:执行命令,查看当前用户名

println "whoami".execute().text

如下图就是执行中

第四步:执行命令,查看目录

println "whoami".execute().text

相关推荐
APItesterCris20 小时前
电商口碑自动化监控方案:30 分钟搭建商品评论实时采集 + 情感分析系统(完整可运行代码)
大数据·运维·数据仓库·自动化
AOwhisky1 天前
下一代容器来了?Docker 宣布原生支持 WebAssembly
java·运维·docker·容器·rust·wasm
摇滚侠1 天前
Linux 零基础教程 09、11、77
linux·运维·服务器
Lottie20261 天前
电商自动化提质增效:API接口落地的核心价值与实战用法
运维·自动化
Hardworking6662 天前
第6章 数据工程
运维·服务器·数据库·数据工程
jieyucx2 天前
Docker 入门第六阶段:综合实战项目
运维·docker·容器
美丽的欣情2 天前
RK3588 Debian 交叉编译环境搭建(Windows + VMware Debian + CMake)
运维·windows·debian
TlSfoward2 天前
TLSFOWARD自动化抓包工具
运维·自动化
麦兜和小可的舅舅2 天前
从原理到实战:Linux 系统性能诊断核心指标全解析及生产系统故障分析复盘
大数据·linux·运维
云飞云共享云桌面2 天前
河北钣金工厂10个solidworks设计共享一台高性能服务器的云桌面方案
运维·服务器·3d·自动化·负载均衡·制造