目录
1.事情背景
近期发现较多境外媒体爆料多起源代码泄露事件,涉及我国多个机构和企业的SonarQube代码审计平台,该事件时间轴为:网传 SonarQube 平台漏洞被利用,大量源码泄露 - OSCHINA - 中文开源技术交流社区可以自己去看看
2.了解SonarQube
SonarQube 是一个开源代码质量管理和分析审计平台,支持包括 Java、C#、C/C++、PL/SQL、Cobol、JavaScript、Groovy 等二十余种编程语言的代码质量管理,可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测,并将结果通过 SonarQube Web 界面进行呈现。
此次受影响 SonarQube 版本是<8.6
3.漏洞简述
该漏洞是由于配置不当造成的未授权访问,攻击者可以利用该漏洞在未授权的情况下访问 api/settings/values 接口从而获取到 SMTP、SVN、GitLab 凭据,进一步获取其它敏感代码和数据信息,造成严重危害。
4.搭建靶场
这里呢我是利用docker镜像,首先下载sonarqube8.3.1-developer版本
docker pull sonarqube:8.3.1-developer 
创建容器并运行sonarqube,设置端口
docker run -d -p 9000:9000 -p 9092:9092 sonarqube 
查看运行的容器
docker ps
5.漏洞复现
在浏览器可以直接访问。
当我们在访问浏览器为 http://192.168.3.1388:9000/api/settings/values,可以直接获取敏感信息
该系统还存在另外一个接口信息泄漏:当我们在访问浏览器为http://192.168.3.138:9000/api/webservices/list 可以看到信息泄露。
下一篇是我用python写的一个检测CVE-2020-27986(SonarQube敏感信息泄露)检测脚本,感兴趣可以看看CSDN