测试两个主机之间的连通性_利用Jira的邮件服务器连通测试功能发现其CSRF漏洞...

最新推荐文章于 2024-07-27 09:11:29 发布
最新推荐文章于 2024-07-27 09:11:29 发布
阅读量182 收藏
点赞数
文章标签: 测试两个主机之间的连通性

fd2aa2ed993a1132ae3617822eec31fe.png

去年10月,Tenable研究员发现Jira v8.4.1版本存在一个跨站请求伪造漏洞(CSRF)-CVE-2019-20099,籍此可以让目标Jira服务去连接任意内部主机,Atlassian Jira受该漏洞影响的版本范围为8.7.0到8.2.4之间的Jira Server 和 Data Center。以下即是具体发现CVE-2019-20099漏洞的过程。

Jira部署的防CSRF策略

跨站请求伪造(CSRF)攻击可以无需他人授权,假冒他人身份发起恶意操作。为了防止此类攻击行为,Jira在客户端某HttpOnly Cookie中部署了CSRF token,因此,对于执行状态更改的操作请求,Jira服务端会检查其中的token是否与CSRF Cookie和CSRF参数中的token匹配,这样一来,攻击者就很难重用cookie发起CSRF攻击。并且,其中的Referer header头信息还可验证与Jira服务端的域名和端口一致性,防止同源策略绕过操作。

下图就是我对Jira服务端发起的POST示例请求,也就是从该请求中我发现了漏洞所在。其中 CSRF cookie 和CSRF 参数分别是Atlassian.xsrf.token和atl_token,还包括了与Jira服务端IP和端口匹配的Referer header头信息。经过多次测试,我发现Jira服务端并不总是会去校验上述这些验证性信息的值。

f21f5251cb72fbd48b2dcb205591ae78.png

漏洞问题

这里我们以内网中Jira架构邮件服务为例进行测试。在Jira中部署POP3邮件服务时需要管理员提交完整的邮件服务配置信息,如服务器名称、主机地址、端口号、用户凭据等等,在底部有两个按钮,一个是新建邮服请求,一个是测试当前建立邮服的连通性。注意,由于这里是内网,所以这里的邮件服务器主机地址就是内网地址。

2a1073ed1d66f0f323122e630a9c81f2.png

邮服连通性测试操作会让Jira服务端去连接给定的POP3邮件服务器地址,该过程中会涉及到一个密码交换过程。当我测试该测试请求时发现,其中的Referer header头信息和CSRF参数校验都未执行,所以,这样一来,如果要对该请求实施CSRF攻击,那么唯一需要的仅只是重用当前已登录Jira系统的管理员Cookie。

为了测试该请求,我特意设置了一个内网的POP3邮件服务器以便接收来自Jira服务端的验证连接,另外我还架设了一个内网Web服务器用来托管与CSRF脚本相关的网页。目的在于模拟Jira系统管理员点击了某个恶意链接后,被进行会话Cookie重用,请求Jira服务端发起针对我设置的邮件服务器的连通测试。以下是触发Jira服务端发起测试邮服连通请求的CSRF脚本:

7e906b87a9ca0d9d21e28ca9bfbadba0.png

以下就是该CSRF脚本运行后,执行的对预定邮服172.16.68.229的连通性测试Wireshark包图:

1b50d4c012146427cd08a846eca17c96.png

这样,当受害者172.16.68.1对Jira服务端172.16.68.248发送了一个POST请求后,接着,会起发针对预设邮件服务器172.16.68.229:110的连通测试,这是一个密码凭据交换验证过程,如果密码凭据验证不通过,则连接终止。不过,利用该脚本,我可以让Jira服务端去连接我自己设定的主机和端口。

POP3邮服的连接验证请求需要在POST请求的参数中设置用户名和密码信息,当请求实现成功握手后,这些参数会被发送到指定的主机和端口,这也就提供了一种机制,攻击者可以通过这种渠道向邮服主机发送消息或命令实现主机监听。

利用漏洞执行内网主机探测发现

XMLHttpRequest对象存在一个readyState属性,它和onreadystatechange事件一起使用,readyState属性包含了0到4之间的不同状态表示值,如下:

820e76098ea6ec717d787cb5137b997f.png

readyState属性值每次发生变化时,都会调用onreadystatechange事件进行处理,为此我在上述脚本中对XMLHttpRequest的state属性变化加入了alert方法,以便每次状态改变时能有所提醒。目的在于观察请求去连接不同主机和端口号时的状态变化差异。我在上述脚本中加入了以下state状态转化跟踪代码:

c87ed6f6e64b704e6e391a7c3e991284.png

当Jira服务端试图去连接一个内网不存在的IP地址时,其XMLHttpRequest请求的state属性会从1到4变化,从而去调用onreadystatechange事件,而只有当连接终止结束后,原始的POST请求才会得到相应的响应,这个过程会花费3秒左右(约3000多毫秒)的时间完成。

PoC

最终我写了一段PoC脚本来让Jira服务端以测试邮件服务器连通性的CSRF操作去执行内网主机探测,当然,我把其中的邮件服务器地址设置为了一段内网IP地址,请求端口为110。运行PoC脚本后可以发现,那些花费3000多毫秒的主机IP是不存在的内网IP地址,只有少量耗时的IP才是存在IP,如下:

1f08341c5ea393f3a6e1e0955bebbc01.png

为了验证上述发现结果,我又用nmap进行了扫描,果然发现结果相同:

b49326f8b5604b25977b97490d1f3c50.png

在以下我用Wireshark抓包的图片中可以发现,PoC脚本会让Jira服务端去连接指定的IP主机端口,而且,还可以在之前用来进行凭据交换的用户字段中填入任意消息,发送给连接的指定IP主机。

1532ad7c7d4169762da74b5009035912.png

481cb0e5252fc7594941afb40a8b6694.gif

总结

这是Jira服务端连接邮件服务器功能的一个CSRF漏洞,我利用它可以执行内网主机和端口的扫描探测。可利用场景是,针对Jira管理员构造恶意链接迷惑其点击执行,实现针对其内网的主机端口枚举探测。

*参考来源:medium,clouds 编译整理,转载请注明来自 FreeBuf.COM

e9f24ceb867decd2da8bfa4c765703a7.gif

精彩推荐

8d214e04a67893ffe8df9431e1a91127.png

d26868df4fa68fe95412faf11ca24d25.png

efeb4b87d925065b39a2f7cefcc12b85.png

8f9abcf65be804347f416f25e3967288.png

8e08b0c64311efdf2e80e950864f59bf.gif

weixin_39933508
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jira图片_利用Jira邮件服务器连通测试功能发现CSRF漏洞
weixin_32646781的博客
12-31 117
去年10月,Tenable研究员发现Jira v8.4.1版本存在一个跨站请求伪造漏洞(CSRF)-CVE-2019-20099,籍此可以让目标Jira服务去连接任意内部主机,Atlassian Jira受该漏洞影响的版本范围为8.7.0到8.2.4之间Jira Server 和 Data Center。以下即是具体发现CVE-2019-20099漏洞的过程。Jira部署的防CSRF策...
CVE-2019-8449:针对Jira v2.1的CVE-2019-8449漏洞-v8.3.4
03-08
CVE-2019-8449 低于v8.3.4的Jira版本的CVE-2019-8449 Exploit CVSS得分: 5.0 漏洞类型:信息泄露身份验证:不需要受影响的版本: 2.1-8.3.4 发布日期: 2019-09-11 漏洞数据库: : 描述 版本8.4.0之前的Jira中的/ rest / api / latest / groupuserpicker资源允许远程攻击者通过信息泄露漏洞枚举用户名。 用法 python CVE-2019-8449.py 链接
Atlassian Jira 模板注入漏洞(CVE-2019-11581)
黑白的博客
12-07 860
声明 好好学习,天天向上 漏洞描述 Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。 多个版本前存在利用模板注入执行任意命令: 影响范围 4.4.x 5.x.x 6.x.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x before 7.6.14 (the fixed version for 7.6.x) 7.7.x 7.8.x 7.9.x 7.10.x 7.11
认识漏洞-Jira身份验证绕过漏洞、GIT泄露漏洞
最新发布
Boom!脑洞大爆炸的博客
07-27 265
认识漏洞-Jira身份验证绕过漏洞、GIT泄露漏洞
Jira 8.3.4 信息披露漏洞(CVE-2019-8449)
Darklord.W
11-19 1018
Jira 8.3.4 信息披露漏洞(CVE-2019-8449) 漏洞描述: ​ Atlassian Jira 8.4.0之前版本/rest/api/latest/groupuserpicker接口允许未授权查询员工信息,攻击者可以通过爆破用户名名单等方法获取用户信息 影响版本: 7.12< 受影响版本<8.4.0 漏洞复现: 下载并安装jira 8.4.0之前的版本(PS:jira安装需要java环境) 直接构造payload /rest/api/latest/groupuserpick
最近的Jira漏洞
公众号shadow sock7
07-16 894
https://jira.atlassian.com/browse/JRASERVER-71113 https://jira.atlassian.com/browse/JRASERVER-71114 https://jira.atlassian.com/browse/JRASERVER-70923 https://jira.atlassian.com/browse/JRASERVER-71107 https://confluence.atlassian.com/jirasoftwareserver/atta
Atlassian_JIRA_Enterprise_3.10.2-Crack.zip_JIRA3._jira
09-24
Jira版本3.10.2 的Lisense Java版本。一年有效期
JIRA.rar_jira_jira bug跟踪_jira pdf_jira工具使用
09-24
JIRA是一款由Atlassian公司开发的项目与任务管理工具,尤其以其强大的缺陷跟踪(bug tracking)功能而闻名。本教程将深入探讨JIRA在bug跟踪、项目管理和工具使用上的核心概念。 ### 一、JIRA基础 1. **界面与导航*...
jira.zip_jira
09-23
总的来说,Jira是一个功能强大的工具,无论你是初学者还是经验丰富的用户,通过深入学习和实践,都能充分利用其特性来提升项目管理的效率和效果。"jira说明文档_试用版.doc"是入门Jira的宝贵资源,建议仔细阅读并...
jira.rar_jira
09-22
Jira是一款由Atlassian...总结:Jira是一款强大的项目管理工具,其安装涉及系统配置、数据库设置、许可证导入等多个环节。了解并熟练掌握这些步骤,有助于高效地部署和管理Jira,以提升团队的协作效率和项目管理水平。
ruanjianceshi.rar_测试文档_软件 测试 流程_软件测试_软件测试流程
09-24
软件测试是对软件产品进行的一系列有计划、有组织的活动,旨在发现并修复软件中的错误、缺陷和漏洞,以保证软件的性能、可靠性、安全性等符合预期。它的重要性在于,通过系统化的测试,可以预防或减少软件上线后可能...
Jira未授权SSRF漏洞(CVE-2019-8451)
Li-D的博客
12-31 1528
漏洞描述 Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析,此漏洞无需任何凭据即可触发。 漏洞危害 远程攻击者可以利用漏洞Jira服务端的身份访问内网资源。 漏洞影响版本 Jira < 8.4.0 漏洞分析 两个关键信息点: • 漏洞点在/plugins/servlet/gadgets/makeRequest • 原因在
Jira Service Management Server和Data Center身份认证绕过漏洞CVE-2023-22501
鸭梨山大。
02-08 555
Jira Service Management(JSMs)Server和Jira Service Management(JSMs)Data Center基于Jira平台,是Atlassian提供的IT服务管理解决方案的两种版本。当Jira Service Management实例启用对用户目录和传出电子邮件的写访问权限时,攻击者可获取未登录过的注册账户令牌,从而导致攻击者在某些情况下冒充另一个用户,并获得对Jira Service Management实例的访问权限。对此,目前厂商已发布安全版本。
Apache Subversion Use-After-Free漏洞(CVE-2022-24070)
murphysec的博客
04-19 599
CVE-2022-24070漏洞会造成Apache Subversion下处理请求的 HTTPD 工作进程崩溃,进而导致拒绝服务,目前该漏洞已修复,建议受影响用户更新到安全版本,或下载官方补丁:https://subversion.apache.org/security/CVE-2022-24070-advisory.txt 编号       CVE-2022-24070                      标题 Apache Subversion Use-After-Free漏洞
Atlassian Jira 信息泄露漏洞(CVE-2019-3403) 排查思路
HeLLo_a119的博客
04-28 716
企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。如果是正常的访问也会返回敏感数据,返回包中的敏感信息是正常的响应内容,所以他不算是一次攻击成功,算是误报。告警的检测规则是匹配响应中有没有返回数据包里面带有敏感信息的部分(检测URL和响应体)。如果是内部人员正常的操作,可以确定这是一次误报,但是不能确定他存不存在这个漏洞。2.通过受害者IP地址找到对应的人员并确认他们是否进行了可能的不当操作。信息泄露漏洞的告警。
漏洞笔记--Jira 相关漏洞复现及利用
NoooEmotion的博客
01-28 4518
Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
jira漏洞复现
Shanfenglan's blog
12-03 4168
文章目录1. Atlassian Jira 模板注入漏洞(CVE-2019-11581)1.1 利用参考文章 1. Atlassian Jira 模板注入漏洞(CVE-2019-11581) 影响版本 4.4.x 5.x.x 6.x.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x before 7.6.14 (the fixed version for 7.6.x) 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x 7.13.x befor
jira使用教程pdf_《jira项目管理系统使用指南》.pdf
05-16
很抱歉,我无法提供给你《jira项目管理系统使用指南》的PDF文件。但是,你可以通过以下步骤了解如何使用Jira: 1. 登录Jira系统,进入主页。 2. 创建一个项目,并设置项目的名称、描述、版本等信息。 3. 添加项目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值