Jenkins的又一java反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限。
有关漏洞的原理分析可以见下文:
看到其它文章中介绍受影响的范围:
- 影响低于 2.56 的所有 Jenkins 主线版本
- 影响低于 2.46.1 的所有 Jenkins LTS 版本
我搭建了多个测试环境,分别是jenkins 2.3、jenkins 2.31都没有复现成功,使用jenkins 2.32.1成功复现。利用老外文章的代码,导出成payload.jar包,用来生成攻击用的payload文件。可以自定义需要执行的命令:
1
|
java -jar payload.jar jenkins_poc1.ser "/usr/bin/touch /tmp/jenkinsTestNxadmin" |
然后利用老外提供的python脚本向jenkins服务器提交post请求,就可以成功在被攻击服务器/tmp目录下生成文件。也可以使用dnslog之类的来测试,如图:
修复建议:
- Jenkins 主线版本升级到 2.57
- Jenkins LTS 版本 2.46.2
参考链接:
http://www.securityfocus.com/bid/98056/info
https://cloud.chaitin.cn/vul/detail?id=54d88f5e-afb5-4912-9824-0c53791cc396
Related Posts
- 本文固定链接: http://www.nxadmin.com/penetration/1590.html
- 转载请注明: admin 于 阿德马Web安全 发表