长亭百川云 - 文章详情

JumpServer日志读取漏洞自动化审计分析

腾讯代码安全检查Xcheck

73

2024-07-13

0x00 JumpServer与漏洞介绍

JumpServer是一个开源的堡垒机,server端使用python编写开发,开源地址在https://github.com/jumpserver/jumpserver

在上周五被爆出一个远程命令执行漏洞,这个远程命令执行主要由一个log日志跨目录读取引发。

漏洞影响版本:

  • < v2.6.2

  • < v2.5.4

  • < v2.4.5

  • = v1.5.9

  • >= v.15.3

0x01 漏洞详情

漏洞主要由两部分组成:

  1. 跨目录读取log日志来获取token

  2. 利用获取的token构造ws通信payload,在jumpserver所管理的服务器进行命令执行。

本文主要对1部分进行分析,也是漏洞利用的前提关键条件。

log日志读取漏洞触发主要在apps/ops/ws.py 文件,关键代码为task_log_f = open(log_path, 'rb') ,位于wait_util_log_path_exist函数。

  def wait_util_log_path_exist(self, task_id):       log_path = get_celery_task_log_path(task_id)       while not self.disconnected:           if not os.path.exists(log_path):               self.send_json({'message': '.', 'task': task_id})               time.sleep(0.5)               continue           self.send_json({'message': '\r\n'})           try:               logger.debug('Task log path: {}'.format(log_path))               task_log_f = open(log_path, 'rb')               return task_log_f           except OSError:               return None

0x02 日志读取漏洞调用链分析

  1. apps/ops/ws.py的receive函数引入污点

污点由websocket通信进来。查阅相关文档,函数receive中的text_data为用户可控的参数。

JsonWebsocketConsumer

污点引入

  1. 污点传递到handle_task, 又将污点传递给read_log_file

handle_task

  1. read_log_file函数再传递到上文提及的wait_util_log_path_exist函数

read_log_file

日志读取返回也是在此处,循环读取4096btypes,然后sleep(0.2)

  1. wait_util_log_path_exist 中通过get_celery_task_log_path获取路径,get_celery_task_log_path方法直接将污点拼接到所要读取的日志路径当中,造成一个跨目录的问题

get_celery_task_log_path

0x03 Xcheck自动化审计

xcheck检查结果如下,仅耗时2s:

xcheck检查结果

结果详情

这是我们适配channels.generic.websocket 之后的检查结果,这个适配添加过程仅仅是将receive 方法的参数设置成污点,剩下的这长长的调用链都可由xcheck自动化完成

传递链

漏洞复现:

  1. 本地搭建成功

搭建成功

  1. 漏洞验证

读取/tmp下log文件验证

实际利用可读取默认log目录/opt/jumpserver/core/logs下的日志文件获取token等敏感信息。

漏洞利用进行命令执行的部分本文不进行赘述,可参考《Jumpserver 任意命令执行漏洞分析报告》这篇文章。

0x04 参考


想了解Xcheck更多信息或者代码安全审计相关技术欢迎关注xcheck公众号~

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2