CVE-2024-27198 和 CVE-2024-27199 身份验证绕过 –> JetBrains 之前的版本中的 RCE

发布于 作者:

CVE-2024-27198 和 CVE-2024-27199 身份验证绕过 –> JetBrains 之前的版本中的 RCE

W01fh4cker Ots安全 2024-03-09 13:55

FOFA: 

app="JET_BRAINS-TeamCity"

ZoomEye 

app:"JetBrains TeamCity"

在用Python3.9 

pip install requests urllib3 faker

目前存在一些问题:
1. 如果不使用yakit代理,恶意插件上传将会失败;

  1. webshell上传后,如果想发起post请求,会报错,如下图:

CVE-2024-27198 和 CVE-2024-27199 身份验证绕过 -- data-lazy-srcset= JetBrains 之前的版本中的 RCE -2″ title=”CVE-2024-27198 和 CVE-2024-27199 身份验证绕过 –> JetBrains 之前的版本中的 RCE -2″ />

但这个问题也是可以解决的。只需通过403错误获取会话id对应的X-TC-CSRF-Token即可。比如我上传了behinder3.0的webshell并连接:

CVE-2024-27198 和 CVE-2024-27199 身份验证绕过 -- data-lazy-srcset= JetBrains 之前的版本中的 RCE -3″ title=”CVE-2024-27198 和 CVE-2024-27199 身份验证绕过 –> JetBrains 之前的版本中的 RCE -3″ />
1. 还有一些细节需要改进,比如去除恶意插件等。如果你有相关的编码技能,你可以提出 Pull Request。

漏洞复现环境搭建

使用 docker 拉取有漏洞的镜像并启动它:

sudo docker pull jetbrains/teamcity-server:2023.11.3
sudo docker run -it -d --name teamcity -u root -p 8111:8111 jetbrains/teamcity-server:2023.11.3
# sudo ufw disable

然后进行基本设置:

CVE-2024-27198 和 CVE-2024-27199 身份验证绕过 -- data-lazy-srcset= JetBrains 之前的版本中的 RCE -4″ title=”CVE-2024-27198 和 CVE-2024-27199 身份验证绕过 –> JetBrains 之前的版本中的 RCE -4″ />

CVE-2024-27198 和 CVE-2024-27199 身份验证绕过 -- data-lazy-srcset= JetBrains 之前的版本中的 RCE -5″ title=”CVE-2024-27198 和 CVE-2024-27199 身份验证绕过 –> JetBrains 之前的版本中的 RCE -5″ />

项目地址:

https://github.com/W01fh4cker/CVE-2024-27198-RCE?tab=readme-ov-file#-problem

参考

  • https://www.rapid7.com/blog/post/2024/03/04/etr-cve-2024-27198-and-cve-2024-27199-jetbrains-teamcity-multiple-authentication-bypass-vulnerabilities-fixed/

  • https://github.com/Chocapikk/CVE-2024-27198

感谢您抽出

.

点它,分享点赞在看都在这里