Jumpserver未授权访问漏洞分析

2022年2月26日14:21:46评论819 views字数 505阅读1分41秒阅读模式

这压根就不屑用来写一个文章。因为这样的话 apache kylin那套系统就可以写一个小说了

官方的git 修复了一些bug 这些bug的备注很简单，我就觉得官方要隐藏什么。果然看了下改的代码

ws.py =websocket.py

然后

在斗象公众号的截图里看到了一个细节

说明这个漏洞是log目录下的websocket请求因为有incoming 和outgoing

然后我搭建了1小时环境……

然后看到了这个请求

发起了一个task 参数这个参数就是堡垒机具体的资产的id。

所以这是一个websocket发起的未授权。用浏览器的api写了一个poc

可以看到服务器连接信息，默认会保存账号密码。

只是我这里测试显示是这个，具体环境会显示服务器登陆信息然后就可以操作这个服务器了改下我的poc就行。

我的poc如下

就是一段发起websocket请求的代码很简单自己改下就可以对服务器发起各种cmd命令了。

聪明的你可能注意到了，这个要拿到服务器资产的id。是的这个是前提。

我没仔细分析，可能其他的接口可以返回全部的资产id。聪明的你赶紧朝着这个方向去探索吧！

本文始发于微信公众号（xsser的博客）：Jumpserver未授权访问漏洞分析

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

对抗性机器学习-攻击和缓解的分类和术语（三）