【转载】漏洞分析Jira未授权SSRF漏洞(CVE-2019-8451)

漏洞背景 前一段时间Atlassian的bug跟踪里公开了一个Jira未授权SSRF漏洞。看一下官方的描述:  Jira 的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺 陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析,此漏洞无需任何凭据即可触发。 影响范围 < 8.4.0 官方说在7.6版本中引入,在8.4.0中修复。但是我经过测试发现至少6.4.14版本也受此漏洞影响。而目前多数Jira是在8.4.0版本以下的。 修复建议  升级到8.4.0及以上版本。 漏洞分析 两个关键信息点: 漏洞点在/plugins/servlet/gadgets/makeRequest 原因在于JiraWhitelist这个类的逻辑缺陷 首先上直接去访问这个url,然而告诉我404:  有点绝望,都404了,还看啥!然后开始按照以往Jira/Confluence的漏洞搜索方法, 然而通过这一点并没有搜出来直接到漏洞点的地方。换另一条思路,搜索:JiraWhitelist,  找到了这个类是在atlassian-jira/WEB-INF/classes目录下,于是在IDEA中直接将这个目录加到Library中(否则调试无法进入),然后在其可疑方法allows下断点: 发起一个/plugins/servlet/gadgets/makeRequest的请求,但是这个时候没能直接触发到断点。后来找到了一个跟这个比较像的url:/plugins/servlet/gadgets/dashboard-diagnostics深入跟进了一下,发现原来是所有/plugins/servlet开头的url会交给某一些类处理,而这是在web.xml中配置的:…

Continue Reading →

【转载】再谈CSV注入攻击

前言:由于工作原因,很久没有更新博客了,总算忙完这一阵了,赶紧更新下博客。这几天我遇到了csv注入的漏洞,但是种种原因不能把我遇到的案例写上来,我就转载一篇文章作为记录吧。 从某些方面来说,CSV注入漏洞是一个老漏洞了,但是在其他方面……好吧,我想几乎没有人意识到这个漏洞的破坏性有多大并且这个漏洞无处不在。我曾经看到的很多应用程序都可以使用一些攻击向量来进行CSV注入,这些应用程序需要用户输入一些数据,并允许管理员将这些数据批量导出到CSV文件中。 CSV注入漏洞的确与每一个应用程序都有关。 值得一提的是, 2014年的一篇文章中已经提到了我的这篇文章讨论到的一些攻击向量。当然还有另一篇文章也讨论了CSV注入漏洞。 所以让我们来设置一个场景 – 想像一个时间或标签跟踪应用程序。用户输入他们的时间(或标签),但是不能看到其他用户输入的内容。然后,网站管理员将数据导出到csv文件中并用电子表格应用程序中打开它。这些操作看起来很正常很规范,没什么不对的。 攻击向量1 CSV文件我想大家都很了解。它最大的特点就是这种文件的结构很简单。这些导出的数据可能看起来像下面这样: UserId,BillToDate,ProjectName,Description,DurationMinutes 1,2017-07-25,Test Project,Flipped the jibbet,60 2,2017-07-25,Important Client,”Bop, dop, and giglip”, 240 非常的简单,并且文件内容没有什么危险的东西在里面。甚至按照RFC文档的规范来说,CSV文件包含的数据也不会造成什么危害: 为了好玩一点,让我们尝试修改一下数据,内容修改如下: UserId,BillToDate,ProjectName,Description,DurationMinutes 1,2017-07-25,Test Project,Flipped the jibbet,60 2,2017-07-25,Important Client,”Bop, dop, and giglip”, 240 2,2017-07-25,Important Client,”=2+5″, 240 嗯…看起来很奇怪。尽管单元格里的文本内容被包含在引号中,但它似乎被解释为一个公式了,就是因为第一个字符是一个等号(=)符号。事实上,在Excel表格里,任何运算符(=、-、+、@等)都能够触发这样的行为,这也是最先引起我注意的地方。这个比较神奇,不过此时还没有产生什么危害。 好吧,看起来一个数据公式就是一种可执行的代码。因此,用户可以让代码(也就是数学公式)在管理员机器上的用户的安全上下文中进行执行。…

Continue Reading →

redis安装及使用

最近工作遇到redis,之前没接触过,一脸懵逼,在大神的教导下终于安装成功了,特记录下,加以学习。 1.首先找到一个教程,https://www.cnblogs.com/javabg/p/9133206.html,从里面下载源码,然后按照上面的安装步骤到修改redis.windows.conf配置文件,启动redis ,我都OK,接下来就是蜜汁怀疑人生的时候了。 2.在将redis加入到windows的服务中 , 安装命令: redis-server.exe –service-install redis.windows.conf –loglevel verbose 使用命令 ,我一直提示错误代码1073, D:\软件\redis>redis-server.exe –service-install redis.windows.conf –loglevel verbose [12820] 06 Sep…

Continue Reading →

【转载】一次攻防实战演习复盘总结

最近参加的几家机构的防守方防护方案评估,部分防守方缺乏对攻击者的正确认知,攻击者的手法已经比较高超了,不扫描,不落地,污染日志等都很普及了。同时也要正确认知对手:攻防演练中,攻击者并非无所不能,他们面临着和防御方一样的问题:时间紧,任务重。所以攻击者的攻击目标,攻击手法也是有迹可循的。一、知彼 攻击者也是讲成本的,因此防守方最好的策略是:做的比其他防守方好一点点即可。好一点的含义:不在低级问题上犯错(弱密码、互联网应用远程RCE、管理后台暴露、重要服务器未打补丁等)。对于“时间紧、任务重”的防守方来说,修建固若金汤的防线显然意味着大成本投入,以及最紧缺的时间,因此本文不会面面俱到,只选择性价比高值得快速投入的安全措施和大家分享。 攻击者一般:目标明确、步骤清晰、控制成本、反检测,反清理、三流分立。 目标明确:攻击者只攻击得分项,和必要路径(外网入口,内网立足点),对这些目标采取高等级手段,会隐蔽操作;对非必要路径顺路控制下来的服务器,并不怕被发现,用起来比较随意,甚至主动制造噪音,干扰防守方。 步骤清晰:信息收集-控制入口-横向移动-维持权限-攻击目标系统。每一步都是经典操作和教科书式手法。 控制成本: 优先攻击高权限账号,如管理员,目标系统负责人账号; 优先攻击运维/安全人员账号和终端,这些人往往有服务器root账号,安全设备管理员账号,可以进一步深入控制; 优先攻击集中管控设施,如域控,集中身份认证系统,终端管理系统,攻陷单系统即获得公司内大部分系统的权限; 优先攻击基础设施,如DNS,DHCP,邮件系统,知识分享平台,oa系统,工单系统;这些系统有内置高权限账号,或可以帮助攻击者隐蔽痕迹。或Git/SVN等开发源代码管理服务器,通过代码审计发现应用0day漏洞。 反检测,反清理: 样本隐蔽技术(白利用(带微软签名的程序执行未签名的黑dll),样本不落地执行(从网上加载样本,只运行在内存,不落盘不惊动杀软)); 快速扩散(攻击者会将攻击包做成自动化工具,降低人力投入,快速控制一批有漏洞发服务器); 停止日志外发,日志清除(脚本优先停止常见日志外发工具;同时有开源自动化工具来劫持日志产生的进程,使得系统不产生日志;使用完后删除access.log等日志); 减少扫描,通过分析日志、分析配置文件、管理员来源IP等方式来获取内网的其他机器IP信息,而不是扫描。 三流分立: 扫描流:用来大批量扫描内网存活IP和漏洞,扫描源通常不被攻击者重视,被清除也不会影响到攻击计划,高水平攻击者通常使用扫描行为来分散防守方精力。 数据流:用来向外网大量传输非关键数据,通常是有互联网权限的终端或服务器(终端较多),很少有隧道行为或扫描行为,通过简单的https,sftp方式传输数据 控制流:用于接受和传递远控指令的服务器,攻击者最重视的设施,使用起来最为谨慎,和远控中心进行交流,常用组件cobaltstrike, empire;有隧道行为,且数据传输量很少,会连接若干个IP和域名(避免外网封禁),传输必定加密,不使用自签名证书。…

Continue Reading →

[转载]常见web安全漏洞修复方案

第一章 SQL注入漏洞 第一节 漏洞介绍 概述:SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从 数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作 (如关闭数据库管理系统)、恢 复存在于数据库文件系统中的指定文件内容,在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。 它将SQL命令注入到数据层输入,从而影响执行预定义的SQL命令。由于用户的输入,也是SQL语句的一部分,所以 攻击者可以利用这部分可以控制的内容,注入自己定义的语句,改变SQL语句执行逻辑,让数据库执行任意自己需要 的指令。通过控制部分SQL语句,攻击者可以查询数据库中任何自己需要的数据,利用数据库的一些特性,可以直接 获取数据库服务器的系统权限。 潜在风险:高 第二节 JAVA漏洞代码示例 //拼接SQL语句,直接插入数据库查询 第三节 修复建议 使用参数化查询接口或在代码级对带入SQL语句中的外部参数进行转义或过滤: 1.…

Continue Reading →

小美人的一生

前言:小美人,是一盆小多肉,由于某个大佬没办法带回交给我寄养。本文描述小美人交给我后,各个阶段出现的事件。 初见: 2018年7月18日,我所在公司搬家的第一天,在路边,带你晒晒太阳。那时候的你,像个羞答答的小姑娘,看着让人欢喜。然后我一路护送你,直到到达新的办公地点。 临危受命 2018年7月25日,你的主人要离开,由于不方便带你,就交给我寄养。当时还开玩笑说:你在,我在。(抱歉,那时候没有给你拍个照片,而我们也没有合影) 满心换喜 2018年8月1日,是你在我这的第七天,我从来没有养过多肉,特意给你拍个照片,请教闺蜜养你的方法,她当时回答说:晒晒太阳,浇点水就好。我认为这很简单,开心的看着你。 胆颤心惊——第一次生病 2018年9月11日,我看你的时候,你竟然变成这样子了,心里一阵恐慌,连忙拍个照片问闺蜜,你这种是什么情况。闺蜜回答:你的土不好,没有营养,要换土。我果断网上下单,给你买营养土。这是你第一次生病,不过问题不大。 渐入佳境——第一次生病 2018年9月25日,我从老家回来后,发现你之前换土后,之前生病的地方,已经痊愈, 并且最上面还长个小小的叶子。当时我非常开心。 引以为傲 2018年10月16日,你第一次生病痊愈后,我每天看着你成长,是非常开心的。这天我给你拍个照片,向我的朋友们炫耀你。 不负众望 2018年11月1日,给你拍一个日常臭美小照片,在经历一次生病后,你不负众望,很坚强的,茁壮成长。真的很欣慰,很开心的。 风云突变 2019年2月25日,本来我以为你会一直这样,我就没有管你,只是定时浇浇水,还不敢浇多,每隔两三个星期给你浇一个矿泉水瓶瓶盖的水,可是,没想到,你还是生病了。。。而且还严重。。。 过完年后,就在我把你拿出来想看看你的时候,你的叶子竟然在不停地掉,我就轻轻一碰,你就掉了三个叶子了。你每掉一片叶子,我的心就揪着疼一下。我急急忙忙发朋友圈问朋友,你该怎么治,他们让我把你拿出来,给你换土,少浇水。我把你拿出来一看,你的根部竟然有点腐烂了,只能给你截断,重新栽种。 这天晚上我没有吃晚饭,给你换土,重新栽种了,然后很放心的,给你放到窗户边,没事晒晒太阳,希望你能二次重生,坚强一点,活下来。…

Continue Reading →

写点啥吧。。。

今天心情很乱,我很少在博客上写心情,这次就破例吧 果真是互联网寒冬么?和我朝夕相处很久的小伙伴竟然也被离开了。。。 2018年还剩最后三天,就迎来2019年,真不知道怎么描述现在的心情 以后我就是一个人了,一个人吃饭,一个人下班,一个人。。。 好难过 ,这不是我要的结果。。。。(张振宇) 当时进入2018的时候,我很幸运的遇到此生挚爱,相识相恋至今;又很幸运的来到现在的公司,和可爱的小伙伴一起成长工作。2019,我不想和你说什么,只希望对我及我的小伙伴们好点。因为我还没走到2019,我就开始失去我的小伙伴了,我希望2019是我收获的一年,好么?仅此而已。 希望爱我及我爱的人都健健康康,快快乐乐的喜迎2019。 感恩,我爱的及爱我的人!!!           本博主佛系人生,自娱自乐,不喜勿喷。      

Continue Reading →

IOT物联网安全之某智能音箱漏洞测试

前言:现在大概最常说的就是物联网,互联网+,大数据,网络安全吧,当物联网和网络安全相结合,会发生一些有趣的事情最近我就遇到了这种物联网安全,在某款智能音箱(以下称为甲智能音箱)中发现后门,可以进行远程执行操作。 测试系统:Windows7中的 测试设备:一个智能音箱,安卓测试机,A的应用安卓版 使用脚本语言:窗下的蝙蝠 问题:存在后门,可远程命令执行 测试系统:Windows7的使用脚本:窗下的蝙蝠脚本语言 实验环境:同一局域网,手机连接的无线网络是2.4G无线网络 根据APP提示,完成一个智能音箱联网。 判断一个音箱的IP。 首先查看测试机连接网络的IP,如下:为192.168.43.111 其次,查看连接同一无线网络下的PC端IP,为192.168.43.181 最后,运行的蝙蝠脚本,筛选排查一个智能音箱的IP 脚本如下: @echo关闭 :环 CLS和回声以下IP能够ping通 for / l %%…

Continue Reading →

CNVD-2018-24855:SQLite远程代码执行漏洞

前言:最近我在工作中也遇到了此漏洞,于是复现玩了一番,特在此记录一下。 背景: CNVD-2018-24855:SQLite远程代码执行漏洞 2018年12月10日,腾讯刀片团队发现并报告的SQLite远程代码执行漏洞(CNVD-2018-24855)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。 漏洞相关信息 漏洞由腾讯刀片团队发现并报告,目前命名为麦哲伦(麦哲伦),经刀片团队测试的Chromium浏览器会受到影响,谷歌和SQLite的也已经确认并修复了漏洞。 漏洞可利用调用Web SQL API触发,修改数据库表,并利用SQLite数据库索引操作触发漏洞,在浏览器渲染进程中实现远程代码执行。 使用的SQLite的其他应用也可通过类似方式在相应进行中实现远程代码执行。 目前CNVD对此漏洞评级为高危。 漏洞复现详情 一,环境搭建 使用如下工具进行远程的WebView调试 https://github.com/wuchangming/spy-debugger, 安装步骤如下请参考链接,值得注意的几点: 1:在安装之前要安装节点,注意更新版本否则容易出错; 2:手机要安装证书,下载证书如下图;小米手机安装证书,要在更多设置 – 系统安全…

Continue Reading →