jenkins未授权访问-任意命令执行

jenkins 未授权访问-任意命令执行

0x00 jenkins简介

enkins是一个功能强大的应用程序，允许持续集成和持续交付项目，无论用的是什么平台。这是一个免费的源代码，可以处理任何类型的构建或持续集成。集成Jenkins可以用于一些测试和部署技术。Jenkins是一种软件允许持续集成。

独山网站制作公司哪家好，找成都创新互联！从网页设计、网站建设、微信开发、APP开发、响应式网站建设等网站项目制作，到程序开发，运营维护。成都创新互联公司2013年成立到现在10年的时间，我们拥有了丰富的建站经验和运维经验，来保证我们的工作的顺利进行。专注于网站建设就选成都创新互联。

0x01 漏洞原因

jenkins 未设置帐号密码，或者使用了弱帐号密码

0x02 漏洞复现

在默认情况下Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令，×××者可通过未授权访问漏洞或者暴力破解用户密码等进脚本执行界面从而获取服务器权限。
任意命令执行界面:
http://ip:port/script

println "ifconfig".execute().text