记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Find Security Bugs:Java应用和Android应用审计工具

项目主页 http://find-sec-bugs.github.io/ 简介 Find Security Bugs是一款用于审计Java Web应用程序和Android应用FindBugs插件。 特点 93种漏洞类型 它可以检测93种不同的漏洞类型,具有超过200个独特的签名。 支持大量框架和库 覆盖流行的框架,包括Spring-MVC,Struts,Tapestry等等 与IDE集成 插件可用于Eclipse, IntelliJ, Android Studio和 NetBeans。而Ant 和Maven提供了命令行集成。 持续集成 可用于Jenkins和SonarQube等系统。 OWASP TOP 10和CWE覆盖 参考OWASP Top 10和CWE,为每个BU
发布时间:2017-02-26 01:55 | 阅读:122982 | 评论:0 | 标签:工具 Android Studio Android应用审计 Ant Eclipse Find Security Bugs

Jenkins CLI Ldap Deser CVE-2016-9299

漏洞名称 Unauthenticatedremote code execution vulnerability in Jenkins 影响版本 LTSRelease 2.19.3 之前的所有版本 WeeklyRelease 2.32 之前的所有版本 修复版本 mainline 2.32 LTS2.19.3 漏洞危害 远程代码执行 Exploit https://github.com/rapid7/metasploit-framework/pull/7815 漏洞复现 下载jenkins 2.31(https://updates.jenkins-ci.org/download/war/2.31/jenkins.war) 安装jenkins java -jar jenkins.war 启动 msfcon
发布时间:2017-01-17 00:00 | 阅读:186298 | 评论:0 | 标签:Web安全 CVE-2016-9299 Jenkins Jenkins漏洞 Jenkins远程代码执行

关于Jenkins CLI漏洞情况的通报

近日,国家信息安全漏洞库(CNNVD)收到关于Jenkins CLI存在远程代码执行漏洞(CNNVD-201611-384)的情况报送。该漏洞源于Jenkins CLI存在Java反序列化问题,从而导致远程攻击者可在Jenkins上执行任意代码,进一步控制服务器。11月16日,Jenkins官方对上述漏洞已发布升级公告。由于上述漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下: 一、漏洞简介 CloudBees Jenkins是美国CloudBees公司的一款基于Java开发的开源的、可持续集成的自动化服务器,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS(Long-Term Support)是CloudBees Jenkins的一个长期支持版本。
发布时间:2016-11-20 16:25 | 阅读:148753 | 评论:0 | 标签:威胁情报 Java反序列化 Jenkins 漏洞

Jenkins之Java反序列化漏洞分析(CVE-2016-0792)

Jenkins近日修复了一个可通过低权限用户调用API服务致使的命令执行漏洞:低权限用户通过构造一个恶意的XML文档并发送至服务端接口,使服务端解析时调用API执行外部命令。XStream是一个流行的反序列化库,许多主流应用程序,如IRA、Confluence、Bamboo,和Jenkins等中都使用了该库,另外,它还支持多个主流库,如Spring和Struts 2等。漏洞利用由于Jenkins将Groovy文件放在类目录中,因此可以借助XML文件来利用该漏洞。有很多应用都使用XStream库,并且将Groovy文件放在类目录中,研究人员可以仿照此方法在很多开源应用中发现同样的漏洞。<map> <entry> <groovy.util.Expando&
发布时间:2016-03-02 23:55 | 阅读:151442 | 评论:0 | 标签:漏洞 CVE-2016-0792 java反序列化 Jenkins

CI工具一周课程Day 1:Jenkins

持续集成(Continuous Integration,CI)工具经常被开发者所使用,常在一些程序开发组织中用于开发、项目管理和源代码管理等。更多关于CI工具的信息可以参考这里。CI工具支持分布式构建。也就是说,在典型配置下,CI工具的主服务器可以在其连接的大量子服务器上执行代码。一个典型的持续集成工业环境下的配置如下图所示:在一次渗透测试中,我开始对CI工具产生了兴趣,那次我从互联网上侵入了Jenkins客户端。对于能从公网访问到Jenkins客户端我感到相当惊讶,关于这次的入侵经历可以参见我的另一篇博文。此后我开始积极寻找可以访问到的CI服务器,在寻找过程中我发现它们正被广泛使用,但是大多都缺乏基本的安全控制措施,经常性出现错误的配置,导致它们有很多相当重要的信息(如:代码库、构建日志
发布时间:2015-12-04 20:10 | 阅读:108484 | 评论:0 | 标签:工具 CI Jenkins

Jenkins CommonCollections 漏洞完美利用工具

这周很火的一个漏洞,通过这个漏洞,可以执行任意java代码,影响 Jenkins、WebSphere、WebLogic 等一系列流行服务。然而老外写的 ysoserial 代码有bug,不能正确的执行命令,随手改掉了 话说回来,提交漏洞总是要证明漏洞危害,那就在 ZoomEye 上找一个需要认证的Jenkins,测试一下效果吧:环境依赖:需要安装 IPC::Run 这个PERL模块,安装命令为 `cpan IPC::Run`下载地址:http://tools.changesec.com/Jenkins-CommonCollections-Exploit/ (官方)https://github.com/CaledoniaProject/jenkins-cli-exploit&
发布时间:2015-11-17 20:55 | 阅读:159080 | 评论:0 | 标签:工具 漏洞 Exploit Jenkins

Lib之过?Java反序列化漏洞通用利用分析

1 背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事实上,博客作者并不是漏洞发现者。博客中提到,早在2015年的1月28号,Gabriel Lawrence (@gebl)和Chris Frohoff (@frohoff)在AppSecCali上给出了一个报告[5],报告中介绍了Java反序列化漏洞可以利用Apache Commons Collections这个常用的Java库来实现任意代码执行,当时并没有引起太大的关注,但是在博主看来,这是2015年最被低
发布时间:2015-11-13 02:30 | 阅读:365817 | 评论:0 | 标签:安全报告 Apache Commons Collections AppSecCali breenmachine Java

Jenkins弱口令扫描器

文中提及的部分技术、工具可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用! Jenkins是一个开源软件项目,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。 默认地Jenkins不包含任何的安全检查,如果未做好权限控制,可以通过其中一个未授权的命令执行获取服务器权限。当然如果配置了授权访问和资源访问权限设置,也可以批量抓取用户名进行暴力破解(有可能产生告警信息)。 由于Jenkins版本不同,因此抓取用户列表的CGI也不同,其中有很多坑也需要在代码中一一处理。 使用命令: python jenkins.py -u http://www.xxx.com/jenkins/ ( 默认线程数:10,指定线程数: -t 20 ,  指定爆破字典: -t : comm_dic.txt ) 脚本运行截图
发布时间:2015-11-11 21:15 | 阅读:166723 | 评论:0 | 标签:黑客在线 黑客工具 Jenkins 弱口令 扫描器 扫描

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云