原创文章，不得转载。 文章目录 漏洞成因影响范围检测工具更多细节 漏洞成因 Jenkins CLI 接口存在任意文件读取漏洞（CVE-2024-23897）。该问题源于 args4j 库在解析文件名参数时，会将@符号后的字符串视为文件名并尝试读取文件，而且该功能默认处于启用状态。 影响范围 Jenkins weekly <= 2.441 Jenkins LTS <=

简介 jenkins是啥？ 简单理解就是：一个开源的、用于方便代码管理、部署的基于web的平台，用于提高团队开发效率（生产力）。 Jenkins CLI 任意文件读取漏洞 CVE-2024-23897 是怎么回事？ Jenkins提供了一个命令行接口，用户可以通过jenkins-cli.jar调用这个接口来执行一些jenkins的功能，但是由于使用jenkins-cli.jar执行命令

Jenkins是一个开源的自动化服务器。 Jenkins使用[args4j](https://github.com/kohsuke/args4j)来解析命令行输入，并支持通过HTTP、Websocket等协议远程传入命令行参数。args4j中用户可以通过`@`字符来加载任意文件，这导致攻击者可以通过该特性来读取服务器上的任意文件。 该漏洞影响Jenkins 2.441及以前的版本。 访问

一、前言 本文将深入研究一项涉及Jenkins的安全漏洞（CVE-2024–23897），将在实验室中介绍这些概念，这些技能对于渗透测试期间有效管理输出至关重要，而在本次漏洞利用中，更显得尤为关键。 本文还涉及Jenkins凭证管理，针对Jenkins部署，指导参与者如何查找存储的用户和密码信息。更加刺激的是，我们将引导参与者使用Hashcat破解这些凭据，进一步揭露其中的安全挑战。 实验的

项目介绍 Jenkins是一个开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，旨在提供一个开放易用的软件平台，使软件项目可以进行持续集成。Jenkins是开源CI&CD软件领导者， 提供超过1000个插件来支持构建、部署、自动化， 满足任何项目的需要。 项目地址 https://www.jenkins.io/zh/ 漏洞概述 Jenkins 有一个内置的命令行

0x01 产品简介 Jenkins 是一个开源的自动化服务器软件，用于构建、测试和部署软件项目。它提供了一种强大的方式来自动化软件开发和交付流程，以提高开发团队的效率和生产力。 0x02 漏洞概述 漏洞成因 命令行接口文件读取： Jenkins内置的命令行接口（CLI）存在一个特性，允许在命令参数中用@字符后跟文件路径来替换为文件内容。这导致攻击者能够读取Jenkins控制器文件系统上的任