|
atlassian-crowd 命令执行 (CVE-2019-11580) 描述: Atlassian Crowd和Atlassian Crowd Data Center都是澳大利亚Atlassian公司的产品。Atlassian Crowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center是Crowd的集群部署版。 CVE-2019-11580 为 Atlassian Crowd 和 Atlassian Crowd Data Center 输入验证错误漏洞,此漏洞是因为没有对上传的 jar 文件校验,直接当做插件进行安装 受影响的产品及版本包括:Atlassian Crowd 2.1.x版本,3.0.5之前的3.0.x版本,3.1.6之前的3.1.x版本,3.2.8之前的3.2.x版本,3.3.5之前的3.3.x版本,3.4.4之前的3.4.版本;Atlassian Crowd Data Center 2.1.x版本,3.0.5之前的3.0.x版本,3.1.6之前的3.1.x版本,3.2.8之前的3.2.x版本,3.3.5之前的3.3.x版本,3.4.4之前的3.4.版本。 打开网页  
下载漏洞利用脚本 https://github.com/jas502n/CVE-2019-11580  下载完拉到kali 运行 
不存在? 才发现我在开头界面没有搭建crowd 注册用户 领取需课程 开crowd 然后就可以安装 好家伙 安装一半报错 
我也不知道有没有安装成功 再poc一下试试 
ok 失败 找一下网上的后续步骤八 
成功后会部署jar包并搭建exp文件和exp文件夹 通关浏览器访问链接测试其他命令 
0X5 漏洞修复 升级到最新版
| 
发表于 2021-10-13 18:06:27