去年手动exfiltration是如此
在释放新工具时,一些笔测试人的工作可能刚刚变得更容易,这些工具据说从暴露的Jenkins服务器散步到公园。
Jenkins-Pillage工具的Dolos Group发布,Jenkins-Pillage Tool旨在将数据从Jenkins服务器中拉动数据在一个自动俯冲 - 消除了对可以进行劫持凭证,私钥和源代码存储库的多个手动步骤的需求冒险。
“此工具将尝试将控制台输出,环境变量和与Jenkins构建相关联的工作空间,”Dolos Group在Github上写道。
“它既针对未经身份验证和经过身份验证的(带有信誉)服务器。”
Jenkins是一个开源自动化服务器,可帮助开发人员构建,测试和维护其软件。
尽管它意图能够简化开发过程,但运行Jenkins的网站以前牺牲了由于其系统中的关键漏洞而普及的加密广告系列 - 其中一些尚未修补,每日SWbeplay2018官网IG.报道在五月。
Dolos Group表示,错误配置的Jenkins服务器也可以导致远程执行(RCE)。
“詹金斯倾向于成为某些组织中信息的宝藏,而且开发人员或运营团队对”只是为了让事情完成“,这一切都是非常容易的,”公司写道博客文章星期一发表。
“These ‘builds’ that Jenkins runs, can contain things like the console output of the build process, (basically stdout of a bunch of commands and scripts), associated files in the form of ‘workspaces’, inherited environment variables, and much more.”
但是,用于通过其控制台输出,环境变量和工作区获取Jenkins数据的一些技术可以冗长,Dolos Group解释。
“如果在笔测试期间遇到Jenkins服务器,我们强烈建议看看可访问的内部。”
“不幸的是,手动从Web界面手动抓住所有这些作品可能是乏味的并且有一个麻烦。beplay体育能用吗
“我们正在释放詹金斯 - 掠夺,以便更快,轻松地自动收集这些信息。”
Jenkins-Pillage可免费提供GitHub.。
