漏洞分析报告

漏洞说明

Jenkins 是一种广泛使用的工具，用于自动执行构建、测试和部署软件等任务。它是许多组织开发流程的关键部分。如果攻击者获得 Jenkins 服务器的访问权限，他们可以造成严重破坏，例如窃取凭据、篡改代码，甚至破坏部署。通过访问 Jenkins，攻击者可以篡改软件管道，可能导致开发流程混乱并泄露敏感数据。

漏洞复现

漏洞需要一个secret key 这里复现的话 可以通过创建一个节点去获取。

漏洞分析

在fetchJar(URL):950, RemoteClassLoader$ClassLoaderProxy (hudson.remoting), RemoteClassLoader.java中，没有对传入的url做判断，会直接去读取内容导致了任意文件读取。

脚本这里通过爆破secret.key的位置，去盘点jenkins的路径。

后续会去读取参考文章的一系列配置文件（为了伪造cookie）

前面的流量都是通过文件读取的方式去获取值，然后生成一个对应的cookie，没有太多的特征。

（1）访问jenkins /tcpSlaveAgentListener/ 查看是否支持代理

（2）读取伪造cookie需要的数据

file:/var/jenkins_home/secret.keyfile:/var/jenkins_home/users/users.xmlfile:/var/jenkins_home/users/admin_9313578255646860931/config.xmlfile:/var/jenkins_home/secrets/master.keyfile:/var/jenkins_home/secret.keyfile:/var/jenkins_home/secrets/org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices.mac


后续利用cookie remember去伪造一个用户

这里为了获取Crumb（没有会失败），会去访问/crumbIssuer/api/json


后续通过执行println ‘123test123 判断是否成功

最终的命令执行还是通过scriptText接口的script参数导致的命令执行，可以执行groovy脚本。


这里我在复现的时候发现在读取response回复的时候，会一直卡着（一直没读取完，所以加了一个10行的判断）

最后，如果两个同时在尝试访问就会报错




原文始发于微信公众号（e0m安全屋）：jenkins CVE-2024-43044