Jenkins任意文件读取(CVE-2024-23897)

已于 2024-03-11 16:22:25 修改
阅读量1.1k 收藏 18
点赞数 12
文章标签: jenkins 运维 网络安全
于 2024-03-11 16:15:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_51175992/article/details/136627047
版权

背景:工作中遇到该漏洞,因此尝试复现一下该漏洞

前期工作:需要在vulhub中启动Jenkins/CVE-2024-23897,由于之前装的版本比较早没有该漏洞,需要升级

git clone https://github.com/vulhub/vulhub.git

也就是将之前的vulhub给删掉然后重新下载,这个很容易下载失败,多下几次就行了

漏洞背景介绍

官方背景:https://github.com/vulhub/vulhub/blob/master/jenkins/CVE-2024-23897/README.zh-cn.md

Jenkins是一个开源的自动化服务器。

Jenkins使用args4j来解析命令行输入,并支持通过HTTP、Websocket等协议远程传入命令行参数。args4j中用户可以通过@字符来加载任意文件,这导致攻击者可以通过该特性来读取服务器上的任意文件。

该漏洞影响Jenkins 2.441及以前的版本。

漏洞复现

  1. 启动服务
docker compose up -d

        发现之前有wordpress的服务占了8080端口,在该漏洞的目录下修改docker-compose.yml文件

        将映射的端口改为8888

        访问成功的页面如下:

        2.利用其原理,下载官方提供的命令行客户端,在http://192.168.190.136:8888/jnlpJars/jenkins-cli.jar下载。使用该工具可以读取目标服务器的/proc/self/environ文件——找到Jenkins的基本目录:JENKINS_HOME=/var/jenkins_home

        3. 这里涉及到一个小的知识点:Jenkins有4种鉴权方式(以下引用phith0n大佬的文章)

  • Anyone can do anything 没有任何权限认证,匿名用户即可登录后台执行Groovy脚本
  • Legacy Mode 旧鉴权模式
  • Logged-in users can do anything 任意登录的用户可以做任何事,这时默认的权限选项
  • Matrix-based security 细颗粒度权限控制,需要安装插件才支持这个鉴权模式

        默认是Logged-in users can do anything 这种方式,因此登陆即管理员权限,没有登录即匿名用户,这种权限方案中,管理员可以设置“匿名用户可读”选项。


 

        这个选项在后台的“Manage Jenkins” -> “Security” 中管理员可以将其开启或关闭,默认是关闭的。实际测试中,如果我们访问Jenkins首页,发现强制跳转到登录页面,或者啥功能都没有直接报权限错误,就说明关闭了“匿名用户读”选项。

        如果Jenkins系统关闭了匿名用户可读功能,大部分的cli命令也就无法调用,会出现"ERROR: anonymous is missing the Overall/Read permission"的错误:

        但有2个命令例外,就是help和who-am-i。这两个命令是无需任何权限的,所以可以用来读取文件,比如:

        而在Vulhub环境中,“匿名用户可读”是开启的,某些Jenkins版本默认安装时可能也是开启的,但通常管理员会关闭这个功能。另外,大部分企业的Jenkins会安装“Matrix-based security”这样的插件来管理权限,也会影响“匿名用户可读”选项的值。总而言之,这个选项的开关取决于管理员是否想让未登录用户看到一些Jenkins的任务。

总结一下就是:

  • 当Jenkins开启了“匿名用户可读”功能,大部分命令都可以被调用
  • 当Jenkins关闭了“匿名用户可读”功能,只有help和who-am-i命令可以被调用

        4.直接使用connect-node命令读取完整文件内容

java -jar jenkins-cli.jar -s http://192.168.190.136:8888/ -http connect-node "@/etc/passwd""

        默认未使用第三方登录的Jenkins中,用户相关信息是存储在文件中,而Session信息是存储在内存中。所以,在拥有文件读取漏洞后,首先想到的就是是否可以读取用户密码。这里读取/var/jenkins_home/users/users.xml,可以获取用户列表和每个用户信息所在的文件目录:

        这里即为admin用户所在的目录,尝试读取这个目录下的config文件:

        得到用户密码和用户种子,用户密码使用JBCript哈希编码,是以#jbcrypt前缀开头,但实际上调试可发现这就是一个BCrypt算法计算出来的hash值。我们将这个哈希值前面的#jbcrypt:去掉,并将第一个2a改成2y,就成为一个标准的bcrypt哈希值了。

网络安全Jenkins任意文件读取漏洞及检测工具(CVE-2024-23897)
等风来
09-06 2362
Jenkins CLI 接口存在任意文件读取漏洞CVE-2024-23897)。该问题源于 args4j 库在解析文件名参数时,会将@符号后的字符串视为文件名并尝试读取文件,而且该功能默认处于启用状态。
Jenkins CLI 任意文件读取漏洞复现(CVE-2024-23897)
0xSec
01-26 3115
Jenkins是一个开源CI/CD工具,用于自动化开发流程,包括构建、测试和部署软件。 2024年1月,互联网公开了一个Jenkins任意文件读取漏洞。鉴于该漏洞易于利用,存在危害扩大的风险,且该系统数据较为敏感且影响范围广泛,建议所有使用Jenkins的企业尽快进行修复,以确保系统安全。
安全研究 | Jenkins 任意文件读取漏洞分析
weixin_33807284的博客
07-31 360
欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由云鼎实验室 发表于云+社区专栏 一、漏洞背景 漏洞编号:CVE-2018-1999002 漏洞等级:高危 Jenkins 7 月 18 日的安全通告修复了多个漏洞,其中 SECURITY-914 是由 Orange (博客链接:blog.orange.tw/)挖出的 Jenkins 未授权任意文件读取漏洞。 **腾讯安全云鼎实...
Jenkins任意文件读取漏洞复现(CVE-2024-23897)
最新发布
m0_74125616的博客
04-02 374
3、根据靶场的路径编写命令,我这里的路径是 http://39.106.48.123:45277。2、下载编译好的二进制文件,我用的时window的。4、成功获取到flag。
Jenkins:CVE-2024-23897[任意文件读取]
h1008685的博客
08-08 1509
Jenkins:CVE-2024-23897漏洞利用,poc工具使用
Jenkins 任意文件读取(CVE-2024-23897)+后台用户密码提取哈希破解+反弹Shell 一条龙
热门推荐
黑剑
03-05 1万+
本文将深入研究一项涉及Jenkins的安全漏洞CVE-202423897),将在实验室中介绍这些概念,这些技能对于渗透测试期间有效管理输出至关重要,而在本次漏洞利用中,更显得尤为关键。本文还涉及Jenkins凭证管理,针对Jenkins部署,指导参与者如何查找存储的用户和密码信息。更加刺激的是,我们将引导参与者使用Hashcat破解这些凭据,进一步揭露其中的安全挑战。实验的一大亮点是反向Shell测试,要求学员使用Jenkins内置的Groovy脚本控制台建立反向Shell。
CVE-2024-23897 JenKins任意文件读取漏洞复现
m0_70489261的博客
02-27 3519
Jenkins提供了一个命令行的接口,用户可以在下载一个命令行客户端jenkins-cli.jar到本地,并调用该客户端来执行一些Jenkins的功能。
Jenkins-Remoting 任意文件读取漏洞(CVE-2024-43044)
iSee857的博客
09-10 2150
Jenkins 使用 Remoting 库(通常为agent.jar或remoting.jar)实现控制器与代理之间的通信,该库允许代理从控制器加载类和类加载器资源,以便从控制器发送的 Java 对象(构建步骤等)可以在代理上执行。当获取到node1机器的权限后,可以得到连接到Jenkins主服务器的secret和name,这时需要将连接使用的agent.jar替换成恶意的Agent连接Jar包。连接成功后在Jenkins主服务器上可以看到已连接的标识,成功连接之后就可以在Agent节点上部署任务了。
Jenkins任意文件读取漏洞(CVE-2024-23897)
wan___she__pi的博客
03-22 861
问题出现在内置的CLI接口,Jenkins使用args4j库解析控制器上的命令存在一个功能,允许在命令参数中用@字符后跟文件路径来替换为文件内容。导致攻击者能够读取Jenkins控制器文件系统上的任意文件
【已复现】Jenkins 任意文件读取漏洞CVE-2024-23897)附POC下载
Elliot1314的博客
01-28 4023
Jenkins是一个开源CI/CD工具,用于自动化开发流程,包括构建、测试和部署软件。2024年1月,互联网公开了一个Jenkins任意文件读取漏洞。鉴于该漏洞易于利用,存在危害扩大的风险,且该系统数据较为敏感且影响范围广泛,建议所有使用Jenkins的企业尽快进行修复,以确保系统安全。内置的命令行接口(CLI)存在一个特性,允许在命令参数中用@字符后跟文件路径来替换为文件内容。这导致攻击者能够读取Jenkins控制器文件系统上的任意文件
2024年最新网络安全学习day6——永恒之黑漏洞复现,2024年最新下血本买的
2401_84281594的博客
05-06 922
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。7)运行脚本,发起攻击。
Jenkins任意文件读取CVE-2024-23897),持续更新大厂面试笔试题
m0_61043185的博客
04-07 438
默认是这种方式,因此登陆即管理员权限,没有登录即匿名用户,这种权限方案中,管理员可以设置“匿名用户可读”选项。这个选项在后台的“Manage Jenkins-> “Security” 中管理员可以将其开启或关闭,默认是关闭的。实际测试中,如果我们访问Jenkins首页,发现强制跳转到登录页面,或者啥功能都没有直接报权限错误,就说明关闭了“匿名用户读”选项。
Jenkins任意文件读取CVE-2024-23897
2301_76567007的博客
01-30 737
发现jenkins登录页面。然后利用poc成功读取
Jenkins任意文件读取CVE-2024-23897
maxiluo的博客
01-27 470
Jenkins任意文件读取CVE-2024-23897,它影响了Jenkins的内置命令行接口(CLI)。这个接口有一个功能,可以用@字符后跟文件路径来替换为文件内容。这样,攻击者可以利用这个功能来读取Jenkins控制器文件系统上的任意文件(1) Jenkins 2.442, LTS 2.426.3已禁用相关命令解析器特性。建议更新至这些版本以解决漏洞(2) 收入到内网,若在公网暴露可设置ACL仅允许可信IP进行访问。
Jenkins任意文件读取CVE-2024-23897),2024年最新上岸蚂蚁金服
2401_83739411的博客
04-15 969
Jenkins是一个开源的自动化服务器。Jenkins使用args4j来解析命令行输入,并支持通过HTTP、Websocket等协议远程传入命令行参数。args4j中用户可以通过@字符来加载任意文件,这导致攻击者可以通过该特性来读取服务器上的任意文件。该漏洞影响Jenkins 2.441及以前的版本。
Jenkins CLI 任意文件读取漏洞检查工具
bobo_patrick的博客
03-18 586
漏洞编号: CVE-2024-23897问题出在args4j 库解析参数时会把@后的字符串作为文件名去读取文件,且此功能默认启用。
漏洞复现】Jenkins CLI 任意文件读取漏洞CVE-2024-23897
qq_38073067的博客
01-30 2330
漏洞复现】Jenkins CLI 任意文件读取漏洞CVE-2024-23897
Jenkins 任意文件读取漏洞
07-12
然而,在某些版本中存在一个已知的安全漏洞,通常称为“Jenkins任意文件读取漏洞”或CVE-2021-22073。这个漏洞发生在jenkins主控台插件管理功能中,攻击者如果能够利用该漏洞,可以构造恶意请求,导致Jenkins服务器...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

muzzert

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值