stapler | 易学教程

Jenkins RCE漏洞分析汇总

阅读更多关于 Jenkins RCE漏洞分析汇总

No.1 声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。 No.2 前言之前针对Jenkins没注意看过，看到廖师傅kcon会议上讲的Java沙箱逃逸就涉及到了Jenkins，包括今年开年时候orange发的Jenkins的组合拳，拖拖拉拉到了年底还没看，所以准备开始看。这里根据Jenkins的漏洞触发点做了一个归类，一种是通过cli的方式触发，一种是通过我们常见的http方式触发。 No.3 环境搭建在catalina.sh添加，或者catalina.bat内容不动用如下命令开启，默认是开启8000端口用如下命令开启 catalina.bat jpda start（Windows） catalina.sh jpda start（linux） No.4 漏洞分析 1.Cli方式触发 CVE-2015-8103 最早开始公开Java 反序列化的时候，何使用 Apache Commons Collections 这个常用库来构造 POP 链（类ROP链），这个在Jenkins上的例子就是这个编号

Vulnhub-靶机-STAPLER: 1

阅读更多关于 Vulnhub-靶机-STAPLER: 1

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现；地址:https://www.vulnhub.com/entry/stapler-1,150/ sudo nmap -n -p- -sC -sV -T5 -Pn -oN stapler.nmap 192.168.202.15 nmap扫描结果开放的端口还是很多的，从前面一个一个来，探测到目标靶机开放了21端口并且允许匿名登录，登录上去看看看到一个文件note 下载下来看到如上信息，得到两个用户名john和elly先放着，继续下面的端口，22端口就先放着，使用gobuster爆破了下目标靶机的目录没发现什么有价值的信息，然后使用nikto扫描了下，发现了两个敏感文件使用wget下载下来，发现并没有什么作用，继续向下看发现了Samba服务，我们使用命令枚举下信息 enum4linux 192.168.202.15

Java printing PDF with options (staple, duplex, etc)

阅读更多关于 Java printing PDF with options (staple, duplex, etc)

问题 I have a java program that prints PDFs. It uses Apache PDFBox to create a PDDocument object (from a pdf document or from a stream in some cases) and then sends it to the printer using the javax.print API: private boolean print(File pdf, String printer) { boolean success = false; try (PDDocument document = PDDocument.load(pdf)) { PrintService[] printServices = PrinterJob.lookupPrintServices(); PrintService printService = PrintServiceLookup.lookupDefaultPrintService(); PrinterJob job =

Working Hours 插件的第一阶段更新

阅读更多关于 Working Hours 插件的第一阶段更新

本文首发于： Jenkins 中文社区原文链接作者：Jack Shen 译者：wenjunzhangp Working Hour Plugin 提供了一个界面，用于设置允许的构建日期和时间。在配置 Working Hour 之外运行的作业将保留到下一个允许的构建时间为止。在 Google Summer of Code 的第一个代码阶段，我一直在从事 Working Hours Project 项目，该项目还有待于改善可用性。当我们想设计一个具有大量可以使用自定义库的 UI 时，React 似乎比经典的 Jelly 页面更受青睐，尤其是日期选择器之类的开源组件。但是，我们目前正致力于将 React 和 Jenkins 集成在一起，这是一个挑战。第一阶段的成就在第一个代码阶段，我们专注于 UI 改进，我们取得了以下主要改进： * 一个独立的 Web 应用程序，可以将其集成。 * 滑块，用于选择时间范围。 * 设置排除日期时间的更多字段。 * 用于选择排除日期的预设。 * Jenkins 样式界面我们如何将 React 集成到 Jenkins 中可以在这里找到集成的解决方案文档最初，我们发现 BlueOcean 是在 Jenkins 中使用 React 的一个很好的例子，但是对于使用插件进行通用开发来说，它并不是一个好的选择。因此，我们需要找到另一种集成方式。

Java printing PDF with options (staple, duplex, etc)

阅读更多关于 Java printing PDF with options (staple, duplex, etc)

I have a java program that prints PDFs. It uses Apache PDFBox to create a PDDocument object (from a pdf document or from a stream in some cases) and then sends it to the printer using the javax.print API: private boolean print(File pdf, String printer) { boolean success = false; try (PDDocument document = PDDocument.load(pdf)) { PrintService[] printServices = PrinterJob.lookupPrintServices(); PrintService printService = PrintServiceLookup.lookupDefaultPrintService(); PrinterJob job = PrinterJob.getPrinterJob(); job.setPageable(new PDFPageable(document)); // set printer if (printer != null) {