【网络安全】漏洞挖掘之命令注入漏洞解析

漏洞简介

Atlassian Bitbucket Server 和 Data Center 是 Atlassian 推出的一款现代化代码协作平台，支持代码审查、分支权限管理、CICD 等功能。
受影响的Bitbucket Server 和 Data Center版本存在使用环境变量的命令注入漏洞，具有控制其用户名权限的攻击者可以在系统上执行任意命令。

影响范围

Bitbucket Data Center and Server 7.0 到 7.21的版本。

调试环境设置

需要设置jvm参数，在启动文件start-bitbucket.sh中并没有发现相关参数，注意到这里加载了_start-webapp.sh

在其中找到了JAVA_OPTS参数并在最后加上：

-Xdebug -Xnoagent -Djava.compiler=NONE -Xrunjdwp:transport=dt_socket,address=5005,server=y,suspend=n"
LAUNCHER="com.atlassian.bitbucket.internal.launcher.BitbucketServerLauncher

执行service atlbitbucket stop、service atlbitbucket start重启Bitbucket，观察进程发现带上了后面加的jvm参数

然后配置idea并调试启动

漏洞分析

根据漏洞影响范围下载了8.4.2和8.4.1版本进行对比后发现差异太大了