Jenkins RCE with Groovy Script
Jenkins RCE con Groovy Script
Questo è meno rumoroso rispetto alla creazione di un nuovo progetto in Jenkins
Vai a path_jenkins/script
All'interno della casella di testo, inserisci lo script
È possibile eseguire un comando utilizzando: cmd.exe /c dir
In linux puoi fare: "ls /".execute().text
Se hai bisogno di utilizzare virgolette e apici singoli all'interno del testo, puoi utilizzare """PAYLOAD""" (virgolette doppie triple) per eseguire il payload.
Un altro utile script groovy è (sostituisci [INSERISCI COMANDO]):
Shell inversa in Linux
Una shell inversa è una tecnica utilizzata dai pentester per ottenere l'accesso remoto a un sistema Linux. Consiste nell'instaurare una connessione da un sistema di attaccanti a un sistema di destinazione, consentendo al pentester di eseguire comandi sul sistema di destinazione come se fosse presente fisicamente.
Per creare una shell inversa in Linux, è possibile utilizzare il seguente comando:
Sostituisci ATTACKER_IP
con l'indirizzo IP del sistema di attaccanti e ATTACKER_PORT
con la porta desiderata per la connessione inversa.
Una volta eseguito il comando, il sistema di destinazione si connetterà al sistema di attaccanti e fornirà una shell interattiva. Il pentester potrà quindi eseguire comandi sul sistema di destinazione come se fosse presente fisicamente.
È importante notare che l'utilizzo di una shell inversa per scopi non autorizzati è illegale e può comportare conseguenze legali. La shell inversa dovrebbe essere utilizzata solo per scopi di pentesting autorizzati e con il consenso del proprietario del sistema.
Shell inversa in Windows
È possibile preparare un server HTTP con una shell inversa di PowerShell e utilizzare Jenkins per scaricarla ed eseguirla:
Script
Puoi automatizzare questo processo con questo script.
Puoi utilizzare MSF per ottenere una shell inversa:
Last updated