支持本站 — 捐款将帮助我们持续运营

目标: 1000 元,已筹: 1000

100.0%
立即捐款

POC详情: 2fa4cfb0ab626e04a6663f4c08042915ea358187

来源
https://github.com/jas502n/CVE-2019-10392
关联漏洞
标题:CloudBees Jenkins Git Client Plugin 操作系统命令注入漏洞 (CVE-2019-10392)
Description:CloudBees Jenkins(Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Git Client Plugin是使用在其中的一个Git客户端插件。 CloudBees Jenkins Git Client Plugin 2.8.4及之前版本中存在操作系统命令注入漏洞。攻击者可利用该漏洞执行操作系统命令。
Description
CVE-2019-10392 RCE Jackson with Git Client Plugin 2.8.2 (Authenticated)
介绍
# CVE-2019-10392 RCE with Git Client Plugin 2.8.2 (Authenticated)

![](./newjob.jpg)
![](./configure.jpg)
![](./exploit.jpg)
![](./script.jpg)

## 0x01 docker 启动

`docker run -p 8080:8080 -p 50000:50000 jenkins/jenkins:lts-alpine`


## 0x02 漏洞环境

```
Jenkins 2.176.3
Git Client Plugin 2.8.2 

https://updates.jenkins-ci.org/download/plugins/git-client/
Git Plugin 3.12.0

```

## 参考链接

https://iwantmore.pizza/posts/cve-2019-10392.html

https://devco.re/blog/2019/01/16/hacking-Jenkins-part1-play-with-dynamic-routing/
文件快照

 [4.0K]  /data/pocs/2fa4cfb0ab626e04a6663f4c08042915ea358187
├── [145K]  configure.jpg
├── [171K]  exploit.jpg
├── [157K]  newjob.jpg
├── [ 539]  README.md
└── [278K]  script.jpg

0 directories, 5 files
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。