参考文献：

• https://www.exploit-db.com/exploits/46453
• http://blog.orange.tw/2019/02/abusing-meta-programming-for-unauthenticated-rce.html

本文涵盖Orange Tsai发现的Jenkins预认证漏洞利用技术。

受影响版本：

• Jenkins < 2.137（预认证漏洞）
• 相关漏洞插件：
  • Pipeline: Declarative Plugin 至1.3.4版本
  • Pipeline: Groovy Plugin 至2.61版本
  • Script Security Plugin 至1.49版本（根据CG测试，1.50版本同样存在漏洞）

ExploitDB链接提供了一个完整的漏洞利用程序，可自动编译jar包并通过脆弱Jenkins服务器进行检索。

利用演示：

1
2
3
4

nc -l 8888 -vv
whoami
bash: no job control in this shell
 bash-3.2$ jenkins

后续版本绕过：

Jenkins 2.138版本后预认证漏洞被修复，但若持有全局读取令牌且插件仍存在漏洞，可通过添加认证cookie到脚本中，以认证状态继续利用服务器漏洞。

发布时间：2019年3月4日
标签：devops, jenkins, Pentesting