Jira 未经身份验证用户名枚举漏洞(CVE-2020-14181)复现

最新推荐文章于 2024-04-28 10:13:49 发布
最新推荐文章于 2024-04-28 10:13:49 发布
阅读量4.1k 收藏
点赞数
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuandao_ahfengren/article/details/115003863
版权

简介

 

Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。

 

影响版本

 

Jira < 7.13.6  Jira 8.0.0 - 8.5.7  Jira 8.6.0 - 8.12.0

 

环境搭建

 

这里使用docker进行搭建

https://github.com/vulhub/vulhub/tree/master/jira/CVE-2019-11581

进入目录并启动环境

cd vulhub-master/jira/CVE-2019-11581/

docker-compose up -d

访问your-ip:8080即可看到页面

最低0.47元/天 解锁文章
玄道网安
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
被动扫描工具(myscan)
lza20001103的博客
08-29 1697
被动扫描工具(myscan) 文章目录被动扫描工具(myscan)前言运行原理演示地址如何运行检测插件优势与不足 前言 myscan是参考awvs的poc目录架构,pocsuite3、sqlmap等代码框架,以及搜集互联网上大量的poc,由python3开发而成的被动扫描工具。 此项目源自个人开发项目,结合个人对web渗透,常见漏洞原理和检测的代码实现,通用poc的搜集,被动扫描器设计,以及信息搜集等思考实践。 运行原理 myscan依赖burpsuite和redis,需启动redis和burpsuite插
CVE-2019-8449 Jira 枚举用户漏洞的利用
BaCde's Blog
03-12 1364
一个很攻击门槛很低的漏洞。可结合其它漏洞配合来进行攻击。 首先来简单说一下这个漏洞,该漏洞就是在Jira 8.4.0以前的版本,攻击者可以在不经过授权的情况下访问/rest/api/latest/groupuserpicker这个路径来枚举用户。漏洞危害评级中危。 2020年2月3日在exploit-db上公布了该漏洞利用脚本。地址: Jira 8.3.4 - Information Disclo...
CVE-2019-8449:针对Jira v2.1的CVE-2019-8449漏洞-v8.3.4
03-08
CVE-2019-8449 低于v8.3.4的Jira版本的CVE-2019-8449 Exploit CVSS得分: 5.0 漏洞类型:信息泄露身份验证:不需要受影响的版本: 2.1-8.3.4 发布日期: 2019-09-11 漏洞数据库: : 描述 版本8.4.0之前的Jira中的/ rest / api / latest / groupuserpicker资源允许远程攻击者通过信息泄露漏洞枚举用户名。 用法 python CVE-2019-8449.py 链接
Atlassian Jira 信息泄露漏洞(CVE-2019-3403) 排查思路
最新发布
HeLLo_a119的博客
04-28 587
企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。如果是正常的访问也会返回敏感数据,返回包中的敏感信息是正常的响应内容,所以他不算是一次攻击成功,算是误报。告警的检测规则是匹配响应中有没有返回数据包里面带有敏感信息的部分(检测URL和响应体)。如果是内部人员正常的操作,可以确定这是一次误报,但是不能确定他存不存在这个漏洞。2.通过受害者IP地址找到对应的人员并确认他们是否进行了可能的不当操作。信息泄露漏洞的告警。
漏洞笔记--Jira 相关漏洞复现及利用
NoooEmotion的博客
01-28 4108
Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
ModSecurity网站防火墙安装教程加WEB防御规则设置
云博客_资源宝分享
02-12 2055
ModSecurity网站防火墙安装教程加WEB防御规则设置
weblogic权限绕过CVE-2020-14482&远程命令执行漏洞CVE-2020-14883
weixin_44912035的博客
01-02 885
漏洞危害 CVE-2020-14882:远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic 管理控制台。 CVE-2020-14883:允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个HTTP请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。 影响版本 Weblogic : 10.3.6.0.0 Weblogic : 12.1.3.0.0 Weblogic : 12.2.1.3.0 Weblogic : 12.2.1.4.0
jira-ldap-group-sync-plugin:JIRA插件的LDAP组同步
05-09
它提供了一种集中式的用户身份验证和授权方式,便于企业管理和控制用户的访问权限。 **二、JIRA LDAP同步功能** 1. **用户同步**:JIRA可以通过配置连接到LDAP服务器,自动同步用户账户信息,包括用户名、全名、...
JIRA-7.3.4-language-pack-zh_CN.jar汉化包
07-11
JIRA-7.3.4
go-jira:Atlassian Jira的Go客户库
02-23
特征身份验证(HTTP基本,OAuth,会话Cookie) 创建和检索问题创建和检索问题过渡(状态更新) 调用Jira的每个API端点,即使它没有在此库中直接实现该软件包尚未完成Jira API,但您可以调用所需的每个API端点。...
jira-weekly-report:用于生成Jira每周报告的命令行工具
05-22
用于生成Jira每周报告的命令行工具。 用Javascript编写并在NodeJs环境中运行。 报告具有以下格式: 1. Closed J1-123 / J1-300: "Introduce new module"; 2. Working on J1-123 / J1-301: "Server-side ...
Jira-Testcases-Dashboard
05-23
用于查看,跟踪和管理Jira测试用例的仪表板 电子表格: : usp 每周图表:<iframe宽度=“ 423”高度=“ 347”无缝frameborder =“ 0”滚动=“否” src =“ 每日图表:<iframe宽度=“ 620”高度=“ 376”...
jira-cli:jira用户友好的命令行客户端
01-29
g jira-cl : npm install -g jira-cl 使用jira [command] [arguments]运行它jira [command] [arguments]最初设定第一次运行时(或者如果您没有创建配置文件),它将询问您的Jira主机,用户名,密码以及是否使用“ ...
jira-jigit-plugin-1.2.13.jar
12-04
安装这个插件,当Gitlab提交代码时描述中加入Jira的KEY,Jira会同步gitlab提交的描述信息和修改的详情到Jira的活动区域,方便查看。
vscode-markdown-jira-links
05-17
MarkDown Jira门票链接.vscode/settings.json : " markDownJiraLinks.codesToUrls " : [ { " code " : " RHAEO " , " url " : " https://jira.rhaeo.net/ " }, { … }] 这将使MarkDown文档中的RHAEO-1可单击,并且...
漏洞复现 - CVE-2020-16898 微软TCP/IP远程执行代码漏洞
10-17 1991
前几天微软更新补丁中有个CVE-2020-16898,下面是摘抄的一段描述, Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。 漏洞原理不是很懂,主要是记录下复现过程 一、环境 ①网络环境开启ipv6支持。这里使用v
Atlassian Jira RCE CVE-2019-11581 漏洞复现渗透测试
kelenwait的博客
07-10 1824
简介 Jira Software 专为软件团队中的每位成员构建,可用于规划、跟踪和发布卓越的软件。 此漏洞由于Atlassian Jira中的Atlassian Jira Server和Jira Data Center模块存在模板注入,攻击者可以在表单插入java恶意代码,当服务端对传入数据进行解析时,会执行数据中插入的恶意代码,并执行其中的命令。可接管服务器。 影响版本 Atlassian Jira 4.4.x 5.x.x 6.x.x 7.x.x Atlassian Jira < 8.2.3 漏洞
Atlassian Jira 模板注入漏洞CVE-2019-11581)复现
锋刃科技的博客
12-13 1533
漏洞描述 Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。 多个版本前存在利用模板注入执行任意命令: 影响范围 4.4.x 5.x.x 6.x.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x before 7.6.14 (the fixed version for 7.6.x) 7.7.x 7.8.x 7.9.x 7.10.x 7.11...
jira-dev-tool怎么在react中安装使用
03-29
1. 首先,你需要在你的React项目中安装jira-dev-tool。可以使用npm或者yarn命令行工具来安装。 使用npm安装: ``` npm install jira-dev-tool --save-dev ``` 使用yarn安装: ``` yarn add jira-dev-tool --dev ``` 2. 安装完成后,你需要在你的React项目中配置jira-dev-tool。在你的项目中创建一个.jirarc文件,并将以下配置复制进去: ``` { "jiraUrl": "https://your-jira-instance.com", "jiraUser": "your-jira-username", "jiraPassword": "your-jira-password", "projectKey": "your-jira-project-key" } ``` 将上面的配置替换为你自己的Jira实例URL、用户名、密码和项目键。 3. 在React项目中使用jira-dev-tool。在你的项目中创建一个脚本来运行jira-dev-tool命令。例如,你可以在package.json文件中添加以下脚本: ``` "scripts": { "jira": "jira-dev-tool" } ``` 现在你可以使用以下命令在React项目中运行jira-dev-tool: 使用npm运行: ``` npm run jira ``` 使用yarn运行: ``` yarn jira ``` 以上就是在React中安装和使用jira-dev-tool的步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值