一、Jenkins是什么
1、Jenkins是什么
Jenkins 是一个可扩展的持续集成引擎。
主要用于:
- l 持续、自动地构建/测试软件项目。
- l 监控一些定时执行的任务。
Jenkins拥有的特性包括:
- l 易于安装-只要把jenkins.war部署到servlet容器,不需要数据库支持。
- l 易于配置-所有配置都是通过其提供的web界面实现。
- l 集成RSS/E-mail通过RSS发布构建结果或当构建完成时通过e-mail通知。
- l 生成JUnit/TestNG测试报告。
- l 分布式构建支持Jenkins能够让多台计算机一起构建/测试。
- l 文件识别:Jenkins能够跟踪哪次构建生成哪些jar,哪次构建使用哪个版本的jar等。
- l 插件支持:支持扩展插件,你可以开发适合自己团队使用的工具。
2、优点
- l 是所有CI产品中在安装和配置上最简单的。
- l 基于Web访问,用户界面非常友好、直观和灵活,在许多情况下,还提供了AJAX的即时反馈。
- l Jenkins是基于Java开发的(如果你是一个Java开发人员,这是非常有用的),但它不仅限于构建基于Java的软件。
- l Jenkins拥有大量的插件。这些插件极大的扩展了Jenkins的功能;它们都是开源的,而且它们可以直接通过web界面来进行安装与管理。
二、环境
参考文档:https://blog.csdn.net/mameng1988/article/details/82818618
启动:在jenkins安装目录下cmd:Java -jar jenkins.war
关闭:在访问该网站http:0.0.0.0:8080/stop
三、漏洞利用
1、未授权访问
在管理界面的脚本命令行(http://192.168.1.129:8080/script)处存在未授权访问。
可直接执行系统命令,也可反弹shell
2、CVE-2018-10008612
印象版本:Jenkins 2.153及更早版本,LTS 2.138.3及更早版本
参考文档:https://blog.csdn.net/lhh134/article/details/106307189
3、CVE-2017-1000353(Jenkins的反序列化漏洞)
影响范围:
所有Jenkins主版本均受到影响(包括<=2.56版本)
所有Jenkins LTS 均受到影响( 包括<=2.46.1版本)
参考文档:https://www.cnblogs.com/yuzly/p/11255729.html
4、CVE-2019-1003000
印象范围:Pipeline: Declarative Plugin up to and including 1.3.4
Pipeline: Groovy Plugin up to and including 2.61
Script Security Plugin up to and including 1.49
参考文档:https://www.freebuf.com/column/197026.html