利用JIRA漏洞訪問美軍非保密因特網(wǎng)協(xié)議路由器網(wǎng)的示例分析

利用JIRA漏洞訪問美軍非保密因特網(wǎng)協(xié)議路由器網(wǎng)的示例分析，針對這個問題，這篇文章詳細介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

下面講述了作者在參與美國國防部（DoD） Hack the Pentagon 漏洞眾測項目中，利用JIRA漏洞CVE-2017-9506構(gòu)造了SSRF攻擊面，實現(xiàn)了對美軍非保密因特網(wǎng)協(xié)議路由器網(wǎng)（NIPRnet）的訪問，并且結(jié)合其它漏洞技巧，獲取到DoD內(nèi)網(wǎng)系統(tǒng)的一系列敏感信息。由于測試過程和內(nèi)容的涉密性，該篇文章僅點到為止，未對過多技術(shù)細節(jié)和詳細場景作出披露，僅當學(xué)習(xí)分享，還望讀者多多包涵。

JIRA 是澳大利亞 Atlassian 公司開發(fā)的一款優(yōu)秀的問題跟蹤管理軟件工具，可以對各種類型的問題進行跟蹤管理，包括缺陷、任務(wù)、需求、改進等。JIRA采用J2EE技術(shù)，能夠跨平臺部署，很多開源軟件組織和知名公司都在使用JIRA。

從頭說來 - 發(fā)現(xiàn)DoD的JIRA應(yīng)用網(wǎng)站

在參與美國國防部（DoD）的漏洞眾測項目時，我發(fā)現(xiàn)其中有兩個特別的網(wǎng)站部署了項目跟蹤管理工具JIRA，經(jīng)過初略分析后，我認為不存在可利用的漏洞，所以就直接沒繼續(xù)深挖了。

后來，我從Twitter中發(fā)現(xiàn)了一條利用JIRA漏洞實現(xiàn)SSRF攻擊的發(fā)貼：

它的意思是這樣的：

JIRA用戶小心了，JIRA漏洞CVE-2017-9506能被攻擊者利用，用于竊取你的內(nèi)網(wǎng)數(shù)據(jù)。這是一種開放重定向漏洞，但在某些情況下，它可被利用重定向到內(nèi)部JIRA系統(tǒng)的本地鏈接地址中，從而導(dǎo)致如AWS密鑰等某些內(nèi)部資源信息泄露。

JIRA漏洞CVE-2017-9506說明

荷蘭安全研究機構(gòu)Dontpanic給出了CVE-2017-9506大概的漏洞原因：JIRA包含的認證授權(quán)插件Atlassian OAuth plugin中存在一個名為 IconUriServlet 的組件，它用于接收客戶端中附帶參數(shù)值consumerUri的GET請求，但IconUriServlet 組件也能用于創(chuàng)建由服務(wù)端執(zhí)行的另外一種HTTP GET請求，這種由JIRA作為間接代理發(fā)起的請求，由服務(wù)端響應(yīng)后再經(jīng)JIRA返回給客戶端，該過程中通過構(gòu)造請求，可導(dǎo)致服務(wù)端內(nèi)部信息泄露在響應(yīng)內(nèi)容中返回給客戶端。

Dontpanic給出的漏洞驗證方法：

https://%basepath%/plugins/servlet/oauth/users/icon-uri?consumerUri=https://google.com

把basepath換成JIRA系統(tǒng)網(wǎng)站鏈接，訪問上述頁面之后，如果正常出現(xiàn)google.com頁面，則證明JIRA系統(tǒng)存在該漏洞；如果訪問出現(xiàn)404頁面，則漏洞不存在。請注意，是在consumerUri后面加上請求測試的網(wǎng)站?。。。?！

測試DoD的JIRA應(yīng)用網(wǎng)站漏洞

仔細閱讀了CVE-2017-9506的說明之后，我如獲至寶，趕緊轉(zhuǎn)向之前發(fā)現(xiàn)的兩個國防部網(wǎng)站上，急切想驗證一下這種漏洞利用技術(shù)的可行性。我先測試了其中一下網(wǎng)站，竟然能正常跳出google頁面，那只肯定是存在漏洞的了！

https://website.mil/plugins/servlet/oauth/users/icon-uri?consumerUri=http://google.com

根據(jù)AWS規(guī)定，任何實例都可通過請求AWS設(shè)定的元數(shù)據(jù)地址169.254.169.254，來檢索自身實例元數(shù)據(jù)示例（相關(guān)方法可參考AWS官方說明），為此我構(gòu)造了以下鏈接發(fā)起請求：

https://website.mil/plugins/servlet/oauth/users/icon-uri?consumerUri=http://169.254.169.254/latest/meta-data/local-hostname/

竟然能看到內(nèi)部主機名！好吧，那我來試試能否獲取AWS密鑰呢：

https://website.mil/plugins/servlet/oauth/users/icon-uri?consumerUri=http://169.254.169.254/latest/meta-data/iam/security-credential

但好像不行。在認真閱讀了AWS官方說明文檔之后，我再次用以下鏈接嘗試來獲取包含實例 ID、私有IP地址等信息：

https://website.mil/plugins/servlet/oauth/users/icon-uri?consumerUri=http://169.254.169.254/latest/dynamic/instance-identity/document

很好，竟然都能成功響應(yīng)獲取到！

到了這一步，我想應(yīng)該能說明問題了，于是沒再深入測試就簡單寫了份漏洞報告進行提交，但之后，DoD的項目分類人員把該漏洞定級為中危漏洞，但我認為這絕對是一個嚴重的高危漏洞。經(jīng)過一番溝通之后，我向DoD申請了深入測試授權(quán)，想繼續(xù)測試一下這個漏洞到底會有什么最終影響。

深入測試 - 實現(xiàn)對非保密因特網(wǎng)協(xié)議路由器網(wǎng)（NIPRnet）的訪問和其它敏感信息獲取

前期偵察發(fā)現(xiàn)

首先，我從基本的端口探測開始，發(fā)現(xiàn)目標系統(tǒng)開啟了21、22、80、443、8080端口，有了這些端口信息之后，我就能測試各種錯誤信息的返回，通過這些信息判斷目標系統(tǒng)中的服務(wù)器和網(wǎng)絡(luò)部署情況，如下對目標系統(tǒng)8080端口發(fā)起請求后的響應(yīng)信息：

其次，我又對gopher文件目錄查看協(xié)議、DICT字典服務(wù)器協(xié)議、FTP協(xié)議、LDAP輕量級目錄訪問協(xié)議等其它協(xié)議作了一遍請求測試。如系統(tǒng)返回了以下不支持LDAP的響應(yīng)：

綜合利用發(fā)現(xiàn)

在記錄下這些信息時，我又想到了PortSwigger首席研究員James Kettle的在USA 2017黑帽大會的研究分享《Cracking the Lens: Targeting HTTP’s Hidden Attack-Surface》，James Kettle通過構(gòu)造惡意的HTTP請求和Header頭信息，側(cè)面勾勒出目標系統(tǒng)中HTTP服務(wù)的隱藏攻擊面，最終，他利用了這種技術(shù)，‘偽裝’成美國國防部內(nèi)部IP身份，成功入侵訪問到了DoD受限的內(nèi)部網(wǎng)絡(luò)系統(tǒng)和相關(guān)資源。我記得在Kettle的分享中，他還展示了兩個他曾用來作入侵測試的DoD內(nèi)部網(wǎng)站：（網(wǎng)站信息出處defensivecarry.com）

https://safe.amrdec.army.mil/safe/

https://dots.dodiis.mil/

結(jié)合這兩個James Kettle提到過的DoD內(nèi)部網(wǎng)站，用我發(fā)現(xiàn)的DoD的兩個JIRA網(wǎng)站來向它們發(fā)起請求，目的就是測試能否以這種途徑實現(xiàn)對James Kettle提到的兩個DoD內(nèi)部網(wǎng)站的訪問。最終，我用其中一個JIRA網(wǎng)站向James Kettle提到的兩個DoD內(nèi)部網(wǎng)站發(fā)起請求后，其中一個顯示請求超時：

另一個返回了US Goverment（USG）的政府警告信息，如下：

在此測試過程中，我還發(fā)現(xiàn)了其它的DoD內(nèi)部web服務(wù)，通過該內(nèi)部web服務(wù)，我竟然能成功訪問到美軍的非保密協(xié)議路由網(wǎng)（NIPRnet），該網(wǎng)絡(luò)系統(tǒng)被DoD內(nèi)部用來處理比機密級較低的敏感級信息。由于保密性原則，在此我就不詳細披露具體方法和途徑。

通過響應(yīng)內(nèi)容判斷獲取內(nèi)部敏感信息

我用第二個JIRA網(wǎng)站向James Kettle提到的兩個DoD內(nèi)部網(wǎng)站發(fā)起請求后，返回的響應(yīng)信息基本沒什么可用之處。

但最終，經(jīng)過測試，我還發(fā)現(xiàn)，可以根據(jù)響應(yīng)時間來判斷DoD內(nèi)部系統(tǒng)的端口開放情況。就比如，當向內(nèi)部系統(tǒng)請求22端口時候，其響應(yīng)用時1000毫秒，而請求21端口時響應(yīng)用時將近10000毫秒，從這種時間差上可對一些端口情況作出猜測判斷。另外，由于缺少詳細的錯誤信息響應(yīng)返回，我無法對系統(tǒng)中的具體協(xié)議作出判斷，但我要著重強調(diào)本文的重點是：通過該內(nèi)部的web服務(wù)端，我可以訪問到DoD的非保密協(xié)議路由網(wǎng)（NIPRnet）！我還使用了Burp的Collaborator插件探測了對該web服務(wù)端請求發(fā)起后，服務(wù)端和請求端數(shù)據(jù)交換時存在的信息泄露情況。

比如從請求頭中的'X-Forwarded-For’可以獲取到內(nèi)部IP，我用Burp的Collaborator插件查詢了所有可交互的內(nèi)部IP，雖然最終能查詢到內(nèi)部IP和相關(guān)的網(wǎng)絡(luò)服務(wù)信息，但卻不能在該web服務(wù)端上實現(xiàn)AWS元數(shù)據(jù)檢索。

最終，我向DoD提交了涉及的兩個漏洞之后，兩個漏洞都被評級為高危（Critical），由此，我聯(lián)想到我今年年初向DoD上報的兩個SSRF漏洞，想看看上述漏洞能否用這種SSRF方式有所深入利用。

JIRA SSRF的深入利用

我年初上報的兩個SSRF漏洞是，用某個web應(yīng)用過濾器可以對特定的IP地址發(fā)起HTTP連接請求，例如能以提交CONNECT IP 請求方式，枚舉出目標系統(tǒng)內(nèi)的應(yīng)用服務(wù)；另外也能通過更改主機頭信息對目標系統(tǒng)內(nèi)部IP或外部IP發(fā)起經(jīng)過驗證的請求信息，如militarywebsite.mil@internal_IP。當我在這兩個JIRA網(wǎng)站上用這種SSRF方式進行測試時發(fā)現(xiàn)，之前提示超時、SSL錯誤和其它響應(yīng)的請求環(huán)境中，竟然也能用Blind SSRF方法實現(xiàn)對內(nèi)部IP和網(wǎng)絡(luò)服務(wù)進行枚舉探測。所以，這個點上的SSRF漏洞利用最終也被DoD評級為中危。

JIRA SSRF漏洞利用的其它技巧

在我對以上漏洞的綜合測試過程中，我發(fā)現(xiàn)在某些情況下，會莫名其妙地發(fā)生堆棧錯誤并泄露各種敏感信息，比如，用不完整的HTTP頭信息http://或http://[::]，這種堆棧錯誤時泄露的敏感信息包括數(shù)據(jù)庫IP、數(shù)據(jù)庫版本、應(yīng)用插件、操作系統(tǒng)架構(gòu)和其它系統(tǒng)：

發(fā)生堆棧錯誤時，仍然可以繼續(xù)對目標網(wǎng)站進行深入的信息獲取利用，比如，我發(fā)現(xiàn)有時候目標網(wǎng)站會指向其它Altassian實例，如某次測試中，我發(fā)現(xiàn)目標站點某子域名中部署有Altassian的confluence實例，經(jīng)過測試證明，這些實例同樣會受到信息泄露漏洞的影響。

總結(jié)梳理

作者描述了參與美國國防部漏洞眾測項目時發(fā)現(xiàn)的JIRA漏洞，并概要性地介紹了整個漏洞利用的測試過程，我們一起來梳理下：

1 其中兩個部署有JIRA實例的DoD網(wǎng)站存在授權(quán)插件漏洞CVE-2017-9506，攻擊者利用該漏洞可獲取目標網(wǎng)站系統(tǒng)內(nèi)部資源信息，并能形成SSRF攻擊面；

2 結(jié)合CVE-2017-9506利用方法，我從存在漏洞的DoD網(wǎng)站中獲取到了JIRA實例 ID、私有IP地址、一系列錯誤響應(yīng)等信息；

3 綜合PortSwigger首席研究員James Kettle分享提到的兩個DoD網(wǎng)站，利用CVE-2017-9506請求方法，發(fā)現(xiàn)請求的DoD網(wǎng)站返回了有效USG（政府警告）信息；

4 在第3步過程中，我通過發(fā)現(xiàn)的某個內(nèi)部web服務(wù)，結(jié)合CVE-2017-9506利用方法，實現(xiàn)了對DoD非保密協(xié)議路由網(wǎng)（NIPRnet）的訪問；

5 結(jié)合CVE-2017-9506利用方法，在存在漏洞的DoD網(wǎng)站上復(fù)現(xiàn)了SSRF攻擊，實現(xiàn)了內(nèi)部IP和網(wǎng)絡(luò)服務(wù)枚舉，以及后續(xù)堆棧錯誤時的敏感信息獲取。

關(guān)于利用JIRA漏洞訪問美軍非保密因特網(wǎng)協(xié)議路由器網(wǎng)的示例分析問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。