Jenkins任意文件读取漏洞分析

漏洞编号：CVE-2018-1999002

漏洞等级：高危

Jenkins 7 月 18 日的安全通告修复了多个漏洞，其中 SECURITY-914 是由 Orange （博客链接：）挖出的 Jenkins 未授权任意文件读取漏洞。

腾讯安全云鼎实验室安全研究人员对该漏洞进行分析发现，利用这个漏洞，攻击者可以读取 Windows 服务器上的任意文件，对于 Linux，在特定条件下也可以进行文件读取。利用文件读取漏洞，攻击者可以获取到 Jenkins 的凭证信息，从而造成敏感信息泄露。另外，在很多时候，Jenkins 的部分凭证和其内用户的帐号密码相同，获取到凭证信息后也可以直接登录 Jenkins 进行命令执行操作等。

二、漏洞分析

Jenkins 在处理请求的时候是通过 Stapler 进行处理的，Stapler 是一个 Java Web 框架。查看 web.xml 可知，Stapler 拦截了所有请求：

单步跟入 hudson.util.PluginServletFilter，最后会跟到 jenkins\core\src\main\java\hudson\Plugin.java 的  doDynamic 方法： 

可以发现，Jenkins 在 serve /plugin/SHORTNAME 这个 URL 的时候，调用的是 StaplerResponse 的 serveLocalizedFile 方法处理静态文件的，继续跟入这个方法：

其中 request.getLocale() 是 jetty-server-9.4.5.v20170502-sources.jar!\org\eclipse\jetty\server\Request.java  内的，其实现为： 

其中 request.getLocale() 是 jetty-server-9.4.5.v20170502-sources.jar!\org\eclipse\jetty\server\Request.java  内的，其实现为： 

非常明显，Jetty 在获取 Locale 的时候直接从 HTTP Headers 里取出 Accept-Language 头，用 - 分割后返回了一个 Locale 对象。也就是我传入Accept-Language: ../../../aaaa-bbbbbb 时，那么我将会得到一个 Locale(“../../../aaaa”, “BBBBBB”)对象。

最后到跟入stapler-1.254-sources.jar!\org\kohsuke\stapler\Stapler.java：

我们可以发现，Stapler 首先将后缀名单独取出，接着将 Jenkins 目录和传入的 locale 的 language 以及后缀名拼接，然后打开这个路径。那么攻击者只需要构造出如下 HTTP 请求即可造成文件读取： 

我们可以发现，Stapler 首先将后缀名单独取出，接着将 Jenkins 目录和传入的 locale 的 language 以及后缀名拼接，然后打开这个路径。那么攻击者只需要构造出如下 HTTP 请求即可造成文件读取： 

最后 URL 拼接的现场为： 

最后 URL 拼接的现场为： 

在 Windows 下，不存在的目录可以通过 ../ 遍历过去的，而对于 Linux 则不行。那么这个漏洞在 Windows 下是可以任意文件读取的，而在 Linux 下则需要在 Jenkins plugins 目录下存在一个名字中存在 _ 的目录才可以。

三、利用方式