آموزش نفوذ به سرور Jenkins در شبکه | Teaching how to break into the Jenkins server on the network
jenkins چیست؟ Jenkins چه کاربردی دارد؟ منظور از آسیب پذیری CVE-2024-23897 دقیقا چیه؟ چطور میتونیم سرور های Jenkins رو یا استفاده از آسیب پذیری مورد نظر اکسپلویت کنیم؟توی انی مقاله آموزشی قراره تا در رابطه با سرور اتوماسیون جنکینز بیشتر صحبت کنیم و اسیب پذیری این سرور رو با هم بشناسیم و نحوه اکسپلویت کردن و دسترسی به این سرور رو با هم پیاده سازی کنیم. پس با من همراه باشید تا بریم سراغ اموزش 
JENKINS دقیقا چیه ؟
جنکینز یک سرور اتوماسیون متن باز و رایگان است. این سرور به خودکارسازی بخش های توسعه نرمافزار های مربوط به ساخت، آزمایش و استقرار، تسهیل در یکپارچه سازی مداوم و تحویل مداوم نرم افزار ها کمک میکند. این یک سیستم مبتنی بر سرور است که در کانتینر های سرور مانند آپاچی تامکت اجرا می شود. از ابزارهای کنترل نسخه، از جمله AccuRev، CVS، Subversion، Git، Mercurial، Perforce، ClearCase و RTC پشتیبانی می کند و می تواند پروژه های Apache Ant، Apache Maven و sbt و همچنین اسکریپت ها پوست و شل دلخواه و دستورات دسته ای ویندوز را اجرا کند.
منظور از CVE چیست؟
CVE یا Common Vulnerabilities and Exposures در واقع شناسنامه منحصر به فردی است که به آسیب پذیری امنیتی شناسایی شده تخصیص داده می شود ، به عبارتی برای هر آسیب پذیری امنیتی در حوزه فاوا و صنعتی، یک شناسنامه تهیه می شود که تمام جزئیات و شرح آسیب پذیری و اصلاحیه های مربوط به آن در آن اشاره شده است. اما این شناسنامه یا CVE توسط شرکت غیردولتی MITRE مسئولیت ثبت و درج و تکمیل اطلاعات هر آسیب پذیری را برعهده دارد.
آسیب پذیری JENKINS چیه ؟
CVE-2024-23897 (آسیبپذیری خواندن فایل دلخواه) جنکینز نسخه 2.441 و نسخه های قبلی، LTS 2.426.2 و نسخههای قبل از این نسخه های نامبرده، ویژگی تجزیهکننده فرمان CLI خود را غیرفعال نمیکند که کاراکتر @ را به دنبال یک مسیر فایل در آرگومان با فایل جایگزین میکند، این آسیب پذیری به مهاجمان احراز هویت نشده اجازه می دهد تا فایل های دلخواه را در سیستم فایل کنترلر جنکینز بخوانند.این اکسپلویت اسکن می کند که آیا هدف ارائه شده در برابر CVE-2024-23897 آسیب پذیر است یا خیر و فایل ارائه شده را از سرور آسیب پذیر راه دور می خواند.
