【春秋云境】CVE-2024-23897-Jenkins 2.441之前版本存在任意文件读取漏洞

HMX4042024-09-28 14:00

一、靶场介绍

Jenkins 2.441及更早版本,以及LTS 2.426.2及更早版本没有禁用其CLI命令解析器的一个功能,该功能会将参数中'@'字符后跟的文件路径替换为该文件的内容,允许未经身份验证的攻击者读取Jenkins控制器文件系统上的任意文件。

二、POC下载

.直接下载编译好的二进制文件
Linux:

https://github.com/wjlin0/CVE-2024-23897/releases/download/v1.0.1/CVE-2024-23897_1.0.1_linux_amd64.zip
Window:

https://github.com/wjlin0/CVE-2024-23897/releases/download/v1.0.1/CVE-2024-23897_1.0.1_windows_amd64.zip
其他系统Release:

https://github.com/wjlin0/CVE-2024-23897/releases/tag/v1.0.1

获取flag

CVE-2024-23897.exe -u http://39.106.48.123:41922/ -a /flag

相关推荐
搬码临时工20 分钟前
公网ip怎么申请和使用?本地只有内网IP如何提供外网访问?
运维·服务器·网络·tcp/ip·电脑·远程工作
毒爪的小新35 分钟前
Docker基础命令
linux·运维·docker·容器·centos
学习编程的gas1 小时前
Linux基本指令(三)
linux·运维·服务器
mrbone111 小时前
Linux-linux和windows创建新进程的区别以及posix_spawn
linux·运维·windows·多进程·fork
u0109053591 小时前
内网穿透之Linux版客户端安装(神卓互联)
linux·运维·服务器
JAVA和人工智能2 小时前
linux 安装 canal 的详细步骤
linux·运维·服务器
deeper_wind3 小时前
防火墙设置实战操作案例(小白的“升级打怪”成长之路)
linux·运维·网络
huangyuchi.3 小时前
【Linux】自动化构建-Make/Makefile
linux·运维·服务器·笔记·自动化·makefile·make
搬码临时工4 小时前
什么是内网映射?如何将内网ip映射到外网访问?
运维·服务器·网络·网络协议·tcp/ip·智能路由器
千里镜宵烛4 小时前
Linux--进程概念
linux·运维·服务器
热门推荐
01机器学习实验--- 金融数据基础与计算在线实验闯关02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06DeepSeek各版本说明与优缺点分析07山东大学2024深度学习期末考试回忆08【2025年最新】OpenWrt 更换国内源的指南(图形界面版)09组基轨迹建模 GBTM的介绍与实现(Stata 或 R)10VMware虚拟机安装Win7专业版保姆级教程(附镜像包)