简介
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成,Jenkins用Java语言编写,可在Tomcat等流行的servlet容器中运行,也可独立运行。通常与版本管理工具(SCM)、构建工具结合使用。
漏洞复现
1.jenkins存在默认口令使用弱口令登录 admin/admin123
2.找到 Manage Jenkins -Tools and Actions - Script Console 点击进入
输入命令后点击run
#命令 println "cmd".execute().text
eg: println "ifconfig".execute().text
jenkins执行命令
3.查看Result 回显,亦可以进行其他命令执行...
修复建议
修改弱口令 或者限制内网访问
