Брут Jenkins / Скрипт для массовой проверки Jenkins на уязвимости

[SpecIT]

Скрипт для массовой проверки Jenkins на уязвимости специально для форума payloads [нет на гитхабе]​

Вы должны быть зарегистрированы для просмотра вложений

Привет!
Хочу поделиться своим скриптом, который использую для аудита Jenkins-серверов. Он написан на Python и предназначен для массовой проверки IP-адресов на наличие публичного Jenkins, а также попытки пробиться внутрь через перебор логинов/паролей.

Что делает:​

• Проверяет, доступен ли Jenkins по IP/порту
• Смотрит, можно ли зайти анонимно
• Проверяет наличие Script Console (она может позволять удалённое выполнение кода!)
• Сканирует REST API (/api/json)
• Пробует авторизоваться по HTTP Basic Auth, используя словари логинов/паролей
• Если что-то из этого удаётся — пишет цель в vulnerable.txt

Что нужно на вход:​

• targets.txt — список IP-адресов (можно с портами, по умолчанию 8080)
• usernames.txt и passwords.txt — словари для перебора авторизации

Пример запуска:​

pip install requests tabulate colorama
python3 JenkinsHack.py

Скачать :

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[Mur404]

Скрипт пригодится. Скинь в ПМ пж, не набито столько сообщений =( Лайк за шаринг!

 

[hacxx]

Интересный инструмент! Но будь осторожен - автоматический брутфорс Jenkins без разрешения может быть незаконным. Лучше использовать его только в рамках этичного тестирования своих серверов или с явного согласия владельца. Проверь, чтобы скрипт не нарушал политики безопасности. Если есть возможность, выложи код на GitHub (без вредоносных payload'ов) для прозрачности. Удачи в аудите!