Jenkins CLI 任意文件读取漏洞复现-Toy模板网

这篇具有很好参考价值的文章主要介绍了Jenkins CLI 任意文件读取漏洞复现。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

漏洞描述

Jenkins CLI 是 Jenkins 内置的命令行页面。

Jenkins 受影响版本中使用 args4j 库解析CLI命令参数，该库默认将参数中 @ 字符后的文件路径替换为文件内容，未授权的攻击者可利用该特性使用 Jenkins 控制器进程的默认字符编码读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件)，并结合 Resource Root URL、Remember me cookie、存储型 XSS 或 CSRF 等在 Jenkins 控制器中执行任意代码。

Jenkins 2.442, LTS 2.426.3 版本通过禁用命令解析器读取 @ 字符后文件路径的特性修复此漏洞。

影响版本

jenkins@(-∞, 2.442)

jenkins lts@(-∞, 2.426.3)

jenkins@影响所有版本

org.jenkins-ci.main:jenkins-core@(-∞, 2.442)

漏洞原理

args4j在解析命令行的时候会把@后面的字符作为文件名，并读取文件内容作为参数的值。

使用限制

1）关闭了匿名用户可读权限，只能读取几行文件

如果jenkins关闭了匿名用户可读的权限，则Jenkins CLI上大部分的命令都不能执行，可以执行的只有help和who-am-i，这两个命令是无需任何权限的。

如下：如果关闭了匿名用户可读，执行其它命令会报错，ERROR: anonymous is missing the Overall/Read permission

apache tomcat信息泄露漏洞jenkins cli任意文件读取漏洞,漏洞集合,servlet,安全,web安全

为什么只能读取几行？

该漏洞的原理是由于args4j在解析命令行的时候会把@后面的字符作为文件名，并读取文件内容作为参数的值。那么当我们在调用该命令时如果出错，args4j就会将错误返回给客户端，而错误信息中就包含文件的内容。但是有个问题就是如果我们使用@将文件内容加载成命令行参数，则会遇到问题，那就是文件中存在空白字符的情况下，会被分割参数。如一个文件有四行，那么命令解析就会将这四行分别作为一个参数跟到help命令的后面。

java -jar jenkins-cli.jar -s http://localhost:8080/ help 1 2 3 4

而这个命令只接受前面的几个参数，报错的时候也只会把前面的几个参数报出来，因此我们不能读取到文件的全部内容。

漏洞复现

1）复现的时候需要用到jenkins-cli.jar，可以找一个jenkins服务，登录以后访问/cli/链接，下载该jar包

apache tomcat信息泄露漏洞jenkins cli任意文件读取漏洞,漏洞集合,servlet,安全,web安全

2）关闭匿名访问的情况下

ava -jar jenkins-cli.jar -s http://localhost:8080/ help "@/etc/passwd"

apache tomcat信息泄露漏洞jenkins cli任意文件读取漏洞,漏洞集合,servlet,安全,web安全

这时可以通过报错信息读取到前面两行的信息

如果一个文件只有一行（如/var/jenkins_home/secret.key 和 /var/jenkins_home/secrets/master.key），使用help读取就会出现“ERROR: You must authenticate to access this Jenkins.”的错误：

apache tomcat信息泄露漏洞jenkins cli任意文件读取漏洞,漏洞集合,servlet,安全,web安全