Jenkins任意文件读取漏洞的示例分析

这篇文章主要介绍了Jenkins任意文件读取漏洞的示例分析，具有一定借鉴价值，感兴趣的朋友可以参考下，希望大家阅读完这篇文章之后大有收获，下面让小编带着大家一起了解一下。漏洞编号：CVE-2018-1999002漏洞等级：高危Jenkins 7 月 18 日的安全通告修复了多个漏洞，其中 SECURITY-914 是由 Orange 挖出的 Jenkins 未授权任意文件读取漏洞。腾讯安全云鼎实验室安全研究人员对该漏洞进行分析发现，利用这个漏洞，攻击者可以读取 Windows 服务器上的任意文件，对于 Linux，在特定条件下也可以进行文件读取。利用文件读取漏洞，攻击者可以获取到 Jenkins 的凭证信息，从而造成敏感信息泄露。另外，在很多时候，Jenkins 的部分凭证和其内用户的帐号密码相同，获取到凭证信息后也可以直接登录 Jenkins 进行命令执行操作等。Jenkins 在处理请求的时候是通过 Stapler 进行处理的，Stapler 是一个 Java Web 框架。查看 web.xml 可知，Stapler 拦截了所有请求：单步跟入 hudson.util.PluginServletFilter，最后会跟到jenkinscoresrcmainjavahudsonPlugin.java的doDynamic方法：可以发现，Jenkins 在serve/plugin/SHORTNAME这个 URL 的时候，调用的是 StaplerResponse 的 serveLocalizedFile 方法处理静态文件的，继续跟入这个方法：其中 request.getLocale()是jetty-server-9.4.5.v20170502-sources.jar!orgeclipsejettyserverRequest.java 内的，其实现为：非常明显，Jetty 在获取 Locale 的时候直接从 HTTP Headers 里取出 Accept-Language 头，用-分割后返回了一个 Locale 对象。也就是我传免费云主机域名入Accept-Language: ../../../aaaa-bbbbbb时，那么我将会得到一个Locale(“../../../aaaa”, “BBBBBB”)对象。最后到跟入stapler-1.254-sources.jar!orgkohsukestaplerStapler.java：我们可以发现，Stapler 首先将后缀名单独取出，接着将 Jenkins 目录和传入的 locale 的 language 以及后缀名拼接，然后打开这个路径。那么攻击者只需要构造出如下 HTTP 请求即可造成文件读取：最后 URL 拼接的现场为：在 Windows 下，不存在的目录可以通过 ../ 遍历过去的，而对于 Linux 则不行。那么这个漏洞在 Windows 下是可以任意文件读取的，而在 Linux 下则需要在 Jenkins plugins 目录下存在一个名字中存在_的目录才可以。一般来说，文件读取漏洞很难转化为命令执行，对于 Jenkins 也是如此。不过 Jenkins 有一个 Credentials 模块，这个模块储存了 Jenkins 的一些凭证信息，很多时候，其凭证的帐号密码是和 Jenkins 的帐号密码相同的。无论如何，在成功利用文件读取漏洞后，都要将凭证信息读取并解密，以收集更多的信息。如果我们想获取 Jenkins 的凭证信息的话，需要以下几个文件：credentials.xmlsecrets/hudson.util.Secretsecrets/master.key很幸运的是这几个文件我们都可以利用文件读取漏洞读取出来。在 Shodan 上尝试获取国外 real world 的 Jenkins 的帐号密码：当然，获取到的帐号密码是不能直接登录的，但是稍微修改一下用户名就可以成功的登录进去了：虽然这个漏洞危害较大，但是不必太过担心，因为默认安装 Jenkins 的时候匿名用户是没有可读权限的。并且此漏洞在 Linux 上被利用的可能性较小。以下为推荐的修复方案：➢针对此高危漏洞利用，腾讯云网站管家 WAFAI 引擎可检测并拦截，如果需要，可在腾讯云官网进一步了解➢在全局安全配置中将匿名用户的可读权限去掉
➢升级到最新版本的 Jenkins（2.121.2）➢使用 Linux感谢你能够认真阅读完这篇文章，希望小编分享的“Jenkins任意文件读取漏洞的示例分析”这篇文章对大家有帮助，同时也希望大家多多支持云编程开发博客，关注云编程开发博客行业资讯频道，更多相关知识等着你来学习!

相关推荐: 如何分析APP测试及流程

这篇文章的内容主要围绕如何分析APP测试及流程进行讲述，文章内容清晰易懂，条理清晰，非常适合新手学习，值得大家去阅读。感兴趣的朋友可以跟随小编一起阅读吧。希望大家通过这篇文章有所收获！目前工作中，测试App会涉及到一下几个方面：客户端、小程序、h6页面等，看似…