Jenkins Git client插件RCE漏洞CVE-2019-10392复现示例分析


本篇文章给大家分享的是有关Jenkins Git client插件RCE漏洞CVE-2019-10392复现示例分析,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。0x00 简介Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。0x01 漏洞概述Git客户端插件中的系统命令执行漏洞,这是以允许具有Job/Configure权限的攻击者在Jenkins主服务器上执行任意系统命令作为Jenkins进程正在运行的OS用户的方式实现命令执行。
0x02 影响范围Git client Plugin
0x03 环境搭建在线环境获取:将本文转发至朋友圈截图发至公众号自行搭建:使用docker进行搭建
等待1~2分钟后(启动较慢),浏览器访问ip:8080进入环境
输入密码后继续下一步,安装推荐的插件,这个安装过程要花比较长的时间,15~20分钟继续下一步,创建一个管理员
继续下一步,就进入了Jenkins主页面系统管理 — 管理用户 — 新建用户,创建一个user账户然后进入:系统管理 — 香港云主机全局安全配置,为user账户配置如下权限下载漏洞版本的插件(推荐安装的都是官网的最新版本)git客户端:git插件:
然后进入:系统管理 — 插件管理 — 高级,将两个插件上传都上传完后点击下图的‘安装完成后重启Jenkins’即可重新启动服务0x04 漏洞利用重启后,登录user账户新建任务 — 流水线确定后,点击流水线选择以下选项,输入Poc(使用dnslog检测):查看dnslog,检测到流量以上就是Jenkins Git client插件RCE漏洞CVE-2019-10392复现示例分析,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注开发云行业资讯频道。

相关推荐: wait对线程通信有什么用

本篇内容介绍了“wait对线程通信有什么用”的 香港云主机有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!使当前线程进入等待(某对象)状态 ,直到另一线程对该对象发出…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 10/04 22:05
下一篇 10/04 22:05

相关推荐