Jumpserver随机数种子泄露导致账户劫持漏洞(CVE-2023-42820)

已于 2023-11-22 10:21:39 修改
阅读量392 收藏
点赞数
分类专栏: 漏洞复现+原理分析 文章标签: 安全
于 2023-11-22 10:18:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43965706/article/details/134547280
版权

环境搭建

下载镜像

wget https://github.com/vulhub/vulhub/tree/master/jumpserver/CVE-2023-42820

版本:v3.6.4

修改config.env文件

启动环境前,修改config.env中DOMAINS的值为你的IP和端口,我这里修改为192.168.85.129:8080

启动环境

docker compose up -d

复现过程

使用了网上的EXPGitHub - tarimoe/blackjump: JumpServer 堡垒机未授权综合漏洞利用, CVE-2023-42442 / CVE-2023-42820 Exploit

成功!

原理分析

random模块的伪随机问题

首先需要知道的相关语言的random模块的随机数都不是真正的随机数,而是通过算法来进行的伪随机,一般都是通过一个初始化的随机种子来进行生成随机数,而如果使用的初始化种子的值不变的话,那么后续生成的随机数的值和顺序也不变。

这里用python演示,可以看到只要初始化了seed的值,那么后续生成的随机数都是固定的,意味着如果我们能控制每次生成随机数的种子的话,那么就能预测到生成的值。

random模块的伪随机问题在django-simple-captcha的体现

django-simple-captcha/view.py

def captcha_image(request, key, scale=1):
    if scale == 2 and not settings.CAPTCHA_2X_IMAGE:
        raise Http404
    try:
        store = CaptchaStore.objects.get(hashkey=key)
    except CaptchaStore.DoesNotExist:
        # HTTP 410 Gone status so that crawlers don't index these expired urls.
        return HttpResponse(status=410)

    random.seed(key)  # Do not generate different images for the same key

这里可以看到captcha_image会接受一个key参数并且把这个key作为random的初始种子

store = CaptchaStore.objects.get(hashkey=key)
//这是一个Django函数,用于从数据库中检索CAPTCHA图像,它使用CapchaStore模型来存储CA[TCHA图像的哈希密钥、挑战和响应

django-simple-captcha/urls.py

urlpatterns = [
    re_path(
        r"image/(?P<key>\w+)/$",
        views.captcha_image,
        name="captcha-image",
        kwargs={"scale": 1},
    )

每当用户访问匹配这个模式的 URL 时,将调用 captcha_image 视图函数,并传入从 URL 中获取的 key 和值为 1 的 scale,\w+是一个正则表达式,匹配一个或多个字母、数字或下划线。当URL为image/123/时,123就会被捕获,并在视图函数中以参数key的形式传入

而这个库把key直接返回给用户作为验证码的索引了,也就是说访问一次验证码图片后,当前进程的全局seed就会被设置为key,用户也可以拿到这个key,就可以利用这个key预测之后生成的随机数。

jumpserver重置验证码时会向邮箱发送包含随机字符串验证码的一封邮件 (因为代码上的问题 没有正确配置邮件服务器时也能正常生成验证码)

在这里我们可以通过拿到的key预测这个验证码

jumpserver/apps/authentication/api/password.py

class UserResetPasswordSendCodeApi(CreateAPIView):
    permission_classes = (AllowAny,)
    serializer_class = ResetPasswordCodeSerializer

    @staticmethod
    def is_valid_user(**kwargs):
        user = get_object_or_none(User, **kwargs)
        if not user:
            err_msg = _('User does not exist: {}').format(_("No user matched"))
            return None, err_msg
        if not user.is_local:
            err_msg = _(
                'The user is from {}, please go to the corresponding system to change the password'
            ).format(user.get_source_display())
            return None, err_msg
        return user, None

    def create(self, request, *args, **kwargs):
        token = request.GET.get('token')
        userinfo = cache.get(token)
        if not userinfo:
            return HttpResponseRedirect(reverse('authentication:forgot-previewing'))

        serializer = self.get_serializer(data=request.data)
        serializer.is_valid(raise_exception=True)
        username = userinfo.get('username')
        form_type = serializer.validated_data['form_type']
        code = random_string(6, lower=False, upper=False)
        other_args = {}

        target = serializer.validated_data[form_type]
        query_key = 'phone' if form_type == 'sms' else form_type
        user, err = self.is_valid_user(username=username, **{query_key: target})
        if not user:
            return Response({'error': err}, status=400)

        subject = '%s: %s' % (get_login_title(), _('Forgot password'))
        context = {
            'user': user, 'title': subject, 'code': code,
        }
        message = render_to_string('authentication/_msg_reset_password_code.html', context)
        other_args['subject'], other_args['message'] = subject, message
        SendAndVerifyCodeUtil(target, code, backend=form_type, **other_args).gen_and_send_async()
        return Response({'data': 'ok'}, status=200)
code = random_string(6, lower=False, upper=False)

这里可以看到生成6个字符作为验证码

通过上面可知,如果random模块的随机数种子可知,也就是说验证码可以通过random_string方法推算出来,但是实际上在生成了6位数的验证码之前captcha模块还调用多次random模块

第1处调用:django-simple-captcha/captcha/view.py

    for char in charlist:
        fgimage = Image.new("RGB", size, settings.CAPTCHA_FOREGROUND_COLOR)
        charimage = Image.new("L", getsize(font, " %s " % char), "#000000")
        chardraw = ImageDraw.Draw(charimage)
        chardraw.text((0, 0), " %s " % char, font=font, fill="#ffffff")
        if settings.CAPTCHA_LETTER_ROTATION:
            charimage = charimage.rotate(
                random.randrange(*settings.CAPTCHA_LETTER_ROTATION),
                expand=0,
                resample=Image.BICUBIC,
            )

在生成图片中的旋转时调用了一次

第2处调用调用:django-simple-captcha/captcha/helpers.py

def noise_dots(draw, image):
    size = image.size
    for p in range(int(size[0] * size[1] * 0.1)):
        draw.point(
            (random.randint(0, size[0]), random.randint(0, size[1])),
            fill=settings.CAPTCHA_FOREGROUND_COLOR,
        )
    return draw

在 noise_dots() 函数中,random.randint() 函数被调用了 int(size[0] * size[1] * 0.1) 次。 最短的情况:1-1= namely ['1-', '1', '=']最长的情况:10*10= namely ['1', '0', '*', '1', '0', '='],所以是3-6次

第3处调用:jumpserver/apps/authentication/api/password.py

code = random_string(6, lower=False, upper=False)

所以自己构造EXP的时候要注意。

JumpServer存在未授权访问漏洞CVE-2023-42442) 附POC
nnn2188185的博客
09-22 1104
Jumpserver是一款开源的堡垒主机和专业的运维安全审计系统,JumpServer存在未授权访问漏洞(CVE-2023-42442):未经身份验证的远程攻击者利用该漏洞可以访获取敏感信息。
漏洞复现】JumpServer未授权访问漏洞(CVE-2023-42442)
李火火的安全圈
09-20 2032
JumpServer是一款开源的堡垒机和权限管理系统,旨在帮助企业实现对服务器和网络设备的安全管理和访问控制。JumpServer的权限管理存在缺陷,未经授权的远程攻击者可以下载历史会话连接期间的所有操作日志。经过分析和研判,该漏洞利用难度低,可导致敏感信息泄漏。
jumpserver任意密码重置漏洞-CVE-2023-42820
hackzkaq的博客
11-13 1155
jumpserver 环境搭建 这里用的是vulhub靶场 进入 jumpserver 的目录 修改配置文件 config.env 里面的 DOMAINS 参数为kali的地址 运行环境,第一次运行的话会拉取文件,要耐心等待。
记录一次漏洞复现--JumpServer堡垒机漏洞CVE-2023-42820
banliyaoguai的博客
11-04 1324
Jumpserver是全球首款完全开源的堡垒机,它主要用于对运维人员的操作行为进行管控、审计,并有效管理服务器、网络设备等资产。
JumpServer 严重漏洞:攻击者可绕过认证掌控基础设施
最新发布
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
03-31 285
JumpServer 的架构由多个组件构成,其中包含核心 API(使用 Python-Django 编写)、数据库、Koko(用 Go 语言开发,用于实现隧道功能)、Celery(任务管理器),以及作为基于 Web 连接入口的 Web 代理。Sonar 的研究人员发现了多个身份验证绕过漏洞CVE-2023-43650、CVE-2023-43652、CVE-2023-42818、CVE-2023-46123 ),攻击者利用这些漏洞可以冒充合法用户。
JumpServer伪随机密码重置漏洞(CVE-2023-42820)以及自动化exp
qq_36585338的博客
11-02 3423
Jumperver是国内开源的堡垒机,在2023年9月份暴露出CVE-2023-42820随机数种子泄漏造成任意用户密码重置漏洞,简单来说就是用户点击忘记密码时系统会生成一个随机字符串作为code并发送到用户邮箱,但由于Jumpserver的一个第三方库django-simple-captcha中random函数进行伪随机生成的code可以被预测,导致这个随机字符串code可以根据泄露种子被推算出来,造成任意用户密码重置漏洞
JumpServer 远程代码执行漏洞
热门推荐
江左盟的博客
01-24 2万+
目录 简介 漏洞原理 影响版本 漏洞分析 漏洞利用 修复方法 Poc Exp 参考文章 简介 JumpServer 是全球首款开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统。JumpServer 使用 Python / Django 为主进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 方案,交互界面美观、用户体验好。JumpServer 采纳分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限
CVE-2023-42820
Dikesi的博客
02-09 877
JumpServer随机数漏洞
CVE-2023-42820JumpServer密码重置漏洞
2301_80115097的博客
11-10 1234
JumpServer开源堡垒机是一款运维安全审计系统产品,提供身份验证、授权控制、账号管 理、安全审计等功能支持,帮助企业快速构建运维安全审计能力。JumpServer开源堡垒机 通过企业版或者软硬件一体机的方式,向企业级用户交付开源增值的运维安全审计解决方 案。漏洞编号:CVE-2023-42820漏洞的核心是随机数种子泄露导致的,未授权的攻击者可以利用该漏洞推算出没有开启多因子验证(MFA)的账号的“重置密码Token”,进而修改该账号的密码。
漏洞预警:JumpServer未授权访问漏洞CVE-2023-42442)
yuanlirong22的专栏
09-19 2325
JumpServer堡垒主机API接口/api/v1/terminal/sessions/权限控制被破坏,该API会话重放可以在没有身份验证的情况下下载。利用该漏洞可以访问录像文件,远程获取到敏感信息。
漏洞分析 | JumpServer未授权访问漏洞CVE-2023-42442)
WangsuSecurity的博客
01-25 1355
由于JumpServer某接口未做授权限制,允许任何未经身份验证的用户获取session信息,最终结合目录权限绕过下载录像文件,其中可能包含敏感信息,如密码、历史命令等。
[CVE-2023-42442]JumpServer 会话录像文件未授权访问漏洞
whoami
09-19 985
JumpServer受影响版本中,由于会话回放录像接口/api/v1/terminal/sessions/鉴权不当,未授权的攻击者可以通过直接访问/api/v1/terminal/sessions/接口查看并下载会话回放录像数据。是一个抽象基类,它定义了一组用于权限判断的方法,但它本身并没有提供任何默认的权限控制逻辑。由于jumpserver 很多用户还未升级到3以上版本,读者们可以自行搭建漏洞版本范围内的版本进行测试。临时策略可禁止访问/api/v1/terminal/sessions/接口。
实战-JumpServer未授权访问漏洞(CVE-2023-42442)
Welcome To Myon'Blog !
01-11 2113
因其开源,无插件,Web界面美观,操作方便,分布式,符合4A规范等特点,被很多企业用于内部资产(物理机,云主机等)的管理。即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。JumpServer未授权访问漏洞JumpServer的权限管理存在缺陷,未经授权的远程攻击者可以下载历史会话连接期间的所有操作日志,会导致敏感信息泄漏。
漏洞复现-CVE-2023-42442:JumpServer未授权访问漏洞
玄道的网安博客
08-12 616
JumpServer在此次修复中移除了对该类的引用,很可能是为了修复前述的未授权访问问题。API端点的权限控制存在逻辑错误,允许攻击者匿名访问。未经身份验证的远程攻击者可以利用此漏洞下载SSH日志,并可能借此远程窃取敏感信息。值得注意的是,存储在S3、OSS或其他云存储中的SSH会话不受此漏洞影响。:攻击者可利用此漏洞访问会话信息,可能导致JumpServer中的敏感会话数据被窃取,例如用户数据、会话密钥等。尽快升级JumpServer安全版本,即版本3.5.5或3.6.4及以上。,官方从代码中移除了。
漏洞复现】JumpServer伪随机密码重置漏洞[CVE-2023-42820]
2201_75756681的博客
12-27 2137
大概就是Jumpserver的一个第三方库django-simple-captcha中使用random函数的生成伪随机数,random函数通过一个初始化的随机种子来进行生成随机数,但是使用的初始化种子的值不变的话,那么后续生成的随机数的值和顺便也不会变,导致验证码随机字符串code可以被推测出来。python poc.py -t http://ip:port --email admin@mycomany.com(账户邮箱) --seed [第一张验证码图片的值] --token [后面token的值]
漏洞复现 | JumpServer未授权访问漏洞
hackzkaq的博客
09-26 710
JumpServer开源堡垒机是一款运维安全审计系统产品,提供身份验证、授权控制、账号管理、安全审计等功能支持,帮助企业快速构建运维安全审计能力。JumpServer开源堡垒机通过企业版或者软硬件一体机的方式,向企业级用户交付开源增值的运维安全审计解决方案。该漏洞存在于JumpServer中,是一个未授权访问漏洞。api/api/v1/terminal/sessions/权限控制存在逻辑错误,可以被攻击者匿名访问。未经身份验证的远程攻击者可利用该漏洞下载ssh日志,并可借此远程窃取敏感信息。
漏洞复现】JumpServer(CVE-2024-29201、29202) 附带POC
qq_43355651的博客
04-02 7031
漏洞复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值