Jenkins

Jenkins简介

Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,它能把软件开发过程形成工作流。默认情况下Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。

Jenkins未授权访问

部署Jenkins 1.62版本,将全局授权策略打开,目前新版本的Jenkins已默认需要用户登录,但老版的中默认配置是“任意用户可以做任何事”,存在未授权访问的问题。

漏洞复现

访问页面

直接通过url访问

http:ip/manage进入管理页面

访问管理页面

进入脚本命令行

后缀输入script进入脚本命令行

执行java命令

回显当前目录下文件信息,漏洞属于未授权访问,同时属于命令执行漏洞。

运行结果

漏洞利用

利用脚本命令行可以写入文件,写入一句话木马。

Jenkins未授权访问修复方法

1、升级版本

2、禁止吧Jenkins直接暴露在公网

3、恢复安全设置,禁止任何用户可以做任何事,设置强口令密码

Jenkins未授权访问相关推荐

  1. jenkins未授权访问漏洞记录(端口:7001,80,8080,50000)

    一.漏洞描述 未授权访问管理控制台,可以通过脚本命令行执行系统命令.通过该漏洞,可以后台管理服务,通过脚本命令行功能执行系统命令,如反弹shell,wget写webshell文件. 二.漏洞环境搭建 ...

  2. 二十八种未授权访问漏洞合集(暂时最全)

    目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 ...

  3. 常见未授权访问漏洞详解

    参考文章1:二十八种未授权访问漏洞合集(CSDN) 参考文章2:28种未授权访问漏洞(知乎) 参考文章3:未授权访问漏洞总结(freebuf) 参考文章4:常见未授权访问漏洞总结(先知社区) 文章目录 ...

  4. 【应急类漏洞】————1、未授权访问漏洞总结

    前言 2018年5月,比特币勒索病毒 WannaCry 席卷全球,国内众多机构部门计算机系统瘫痪.根据之前应急响应的案例分析,以及一些安全报告统计,目前大部分的勒索病毒均利用未授权访问等通用漏洞进行植 ...

  5. 常用的30+种未授权访问漏洞汇总

    未授权访问漏洞汇总预览 1 .FTP 未授权访问(21) 2 .LDAP 未授权访问(389) 3 .Rsync 未授权访问(873) 4 .ZooKeeper 未授权访问(2181) 5 .Dock ...

  6. 未授权访问漏洞-Redis未授权访问漏洞

    文章目录 未授权概述 常见未授权访问漏洞 Redis未授权访问 Redis简介 应用场景 Redis 架构 漏洞发现 端口 端口探测 Redis常用命令 Redis历史漏洞 Redis未授权访问 Re ...

  7. 漏洞检测与防御:Redis未授权访问漏洞复现

    漏洞检测与防御:Redis未授权访问漏洞复现 1. 未授权访问漏洞 未授权访问漏洞可以理解为安全配置.权限认证.授权页面存在缺陷,导致其他用户可以直接访问,从而引发权限可被操作,数据库.网站目录等敏感 ...

  8. 常用的端口及未授权访问漏洞

    ​ 一.介绍 用于快速定位端口,查找开放端口脆弱点,有利于外网渗透 1.1 具体端口 端口号 使用 弱点 21 telnet 22 SSH 28退格漏洞.OpenSSL漏洞 25 SMTP协议 53 ...

  9. redis 未授权访问利用 两种方式

    1.未授权访问漏洞 Redis在默认情况下,会绑定在0.0.0.0:6379,如果没有采用限制IP访问,就会将Redis服务暴露在公网上,并且在没有设置密码认证的情况下,会导致任意用户未授权访问Red ...

最新文章

  1. 有关Android的调试时候常用到的一些技巧
  2. 完美解决 keil5.25 某宝Jlink无法使用问题
  3. python log文件如何不写入syslog_Centos下python 对syslog重写进行日志记录
  4. CSS选择器学习笔记
  5. php 和jsp,jsp和php哪个好?jsp和php的简单比较
  6. centos安装mysql5.7.12_CentOS二进制安装MySQL5.7.12
  7. 1小时打造HaaS版小小蛮驴智能车
  8. 从零开始学产品第五篇:三个环境,开发、测试和线上
  9. 1111---9999的变换
  10. sql语句查询结果合并union all用法_数据库技巧
  11. Linux Vi 的使用
  12. Windows中使用Docker安装ClickHouse
  13. MAC设置JDK环境变量
  14. python 移动文件 使用os.rename
  15. 你真的懂Java的ArrayList吗?
  16. 用Changedetection监控网页的变化
  17. python二分查找时间复杂度_时间复杂度 二分查找
  18. java 乱码怎么是繁体字_win7繁体字乱码怎么办?win7繁体字显示乱码解决方法
  19. 移动工具 证件照的设置
  20. http 1.php,php利用socket扩展写一个简单的单进程http服务1

热门文章

  1. 派森语言python干什么的-Python(派森)
  2. UBOOT 字库相关
  3. 【群晖nas】阿里域名DDNS 配置外网访问(华硕AC68U路由端口映射)
  4. 面向小白visual studio 2019 添加第三方库教程
  5. 03【若依框架解读】Tree树形结构的控制(菜单,部门)
  6. 旅游类网站的服务器配置,旅游各类 网站界面
  7. 机器人学笔记之——空间描述和变换:算子
  8. arcos的matlab定义,基于MATLAB编程软的齿轮设计
  9. 4维俄罗斯方块 java,课内资源 - 基于Easyx插件的俄罗斯方块游戏的设计与实现
  10. 面向对象-抽象类与接口