当前位置: 首页 > news >正文

【Jenkins未授权访问漏洞 】

news 2025/7/14 22:04:46

默认情况下 Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。

第一步:使用fofa语句搜索

搜索语句:

port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

一个一个搜索,直到出现 Manage Jenkins,在打开的URL中...点击 Manage Jenkins
Scritp Console 再执行以下命令.

第二步:点进去后,页面往下翻看到Scritp Console——点击。

第三步:执行命令,查看当前用户名

println "whoami".execute().text

如下图就是执行中

第四步:执行命令,查看目录

println "whoami".execute().text

http://www.lryc.cn/news/414623.html

相关文章:

  • 前端处理 Excel 文件
  • (vue)el-cascader级联选择器按勾选的顺序传值,摆脱层级约束
  • Redis进阶(四):哨兵
  • 蓝屏事件:网络安全的启示
  • 技术方案评审原则
  • 117页PPT埃森哲-物流行业信息化整体规划方案
  • 百度网盘不下载怎么直接打印文件?
  • 设置了 robots.txt 禁止爬虫抓取,为什么还是能被百度搜索出来
  • DedeCMS-V5.7.82-UTF8织梦管理系统漏洞
  • 【Python】字符串练习题及代码示例
  • fluent动网格profile udf 注意事项
  • 【doghead】mac构建 2: player 端 clion构建
  • 论网络流(最大流篇)--新手入门超详解--包教包会
  • 环境搭建:全面详尽的 MongoDB Shell MongoDB Server介绍、安装、验证与配置指南(以 Windows 系统为主)
  • 使用 OpenSearch 的 K-NN 向量搜索来增强搜索功能
  • Less-2(闭合)
  • mysql介绍
  • 【ROS学习】ROS中 use_sim_time 参数的含义与作用
  • python-查找元素3(赛氪OJ)
  • 苹果 Safari 的隐私保护与广告追踪问题 :技术进展与挑战
  • pytest之fixture
  • Rancher
  • Wordpress建站问题记录
  • JavaFx中通过线程池运行或者停止多个周期性任务
  • 使用RabbitMQ实现异步支付状态通知
  • [最短路dijkstra],启动!!!
  • Java企业微信服务商代开发获取AccessToken示例
  • How does age change how you learn?(2)年龄如何影响学习能力?(二)
  • 可验证随机函数 vrf 概述
  • 鸿蒙双向绑定组件:TextArea、TextInput、Search、Checkbox,文本输入组件,图案解锁组件PatternLock