Confluence 文件读取漏洞(CVE-2019-3394)分析

最新推荐文章于 2024-08-07 23:11:43 发布
最新推荐文章于 2024-08-07 23:11:43 发布
阅读量590 收藏
点赞数
文章标签: ldap java web.xml
原文链接:https://my.oschina.net/u/4156697/blog/3101356
版权

作者: Badcode@知道创宇404实验室 日期: 2019/08/29 英文版本: https://paper.seebug.org/1026/

前言

下午 @fnmsd 师傅发了个 Confluence 的预警给我,我看了下补丁,复现了这个漏洞,本篇文章记录下这个漏洞的应急过程。

看下描述,Confluence Server 和 Data Center 在页面导出功能中存在本地文件泄露漏洞:具有“添加页面”空间权限的远程攻击者,能够读取 <install-directory>/confluence/WEB-INF/目录下的任意文件。该目录可能包含用于与其他服务集成的配置文件,可能会泄漏认证凭据,例如 LDAP 认证凭据或其他敏感信息。和之前应急过的一个漏洞一样,跳不出WEB目录,因为 confluence 的 web 目录和 data 目录一般是分开的,用户的配置一般保存在 data 目录,所以感觉危害有限。

漏洞影响

6.1.0 <= version < 6.6.16 6.7.0 <= version < 6.13.7 6.14.0 <= version < 6.15.8

补丁对比

看到漏洞描述,触发点是在导出 Word 操作上,先找到页面的这个功能。

接着看下代码层面,补丁是补在什么地方。

6.13.7是6.13.x的最新版,所以我下载了6.13.6和6.13.7来对比。

去除一些版本号变动的干扰,把目光放在confluence-6.13.x.jar上,比对一下

对比两个jar包,看到有个 importexport 目录里面有内容变化了,结合之前的漏洞描述,是由于导出Word触发的漏洞,所以补丁大概率在这里。 importexport 目录下面有个PackageResourceManager 发生了变化,解开来对比一下。

看到关键函数getResourceReaderresource = this.resourceAccessor.getResource(relativePath);,看起来就是获取文件资源的,relativePath的值是/WEB-INF拼接resourcePath.substring(resourcePath.indexOf(BUNDLE_PLUGIN_PATH_REQUEST_PREFIX))而来的,而resourcePath是外部传入的,看到这里,也能大概猜出来了,应该是resourcePath可控,拼接/WEB-INF,然后调用getResource读取文件了。

流程分析

找到了漏洞最终的触发点,接下来就是找到触发点的路径了。之后我试着在页面插入各种东西,然后导出 Word,尝试着跳到这个地方,都失败了。最后我在跟踪插入图片时发现跳到了相近的地方,最后通过构造图片链接成功跳到触发点。

首先看到com.atlassian.confluence.servlet.ExportWordPageServerservice方法。

public void service(SpringManagedServlet springManagedServlet, HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    String pageIdParameter = request.getParameter("pageId");
    Long pageId = null;
    if (pageIdParameter != null) {
        try {
            pageId = Long.parseLong(pageIdParameter);
        } catch (NumberFormatException var7) {
            response.sendError(404, "Page not found: " + pageId);
        }
    } else {
        response.sendError(404, "A valid page id was not specified");
    }

    if (pageId != null) {
        AbstractPage page = this.pageManager.getAbstractPage(pageId);
        if (this.permissionManager.hasPermission(AuthenticatedUserThreadLocal.get(), Permission.VIEW, page)) {
            if (page != null && page.isCurrent()) {
                this.outputWordDocument(page, request, response);
            } else {
                response.sendError(404);
            }
            ......

}

在导出 Word 的时候,首先会获取到被导出页面的pageId,之后获取页面的内容,接着判断是否有查看权限,跟进this.outputWordDocument

private void outputWordDocument(AbstractPage page, HttpServletRequest request, HttpServletResponse response) throws IOException {
    ......

    try {
        ServletActionContext.setRequest(request);
        ServletActionContext.setResponse(response);
        String renderedContent = this.viewBodyTypeAwareRenderer.render(page, new DefaultConversionContext(context));
        Map<String, DataSource> imagesToDatasourceMap = this.extractImagesFromPage(renderedContent);
        renderedContent = this.transformRenderedContent(imagesToDatasourceMap, renderedContent);
        Map<String, Object> paramMap = new HashMap();
        paramMap.put("bootstrapManager", this.bootstrapManager);
        paramMap.put("page", page);
        paramMap.put("pixelsPerInch", 72);
        paramMap.put("renderedPageContent", new HtmlFragment(renderedContent));
        String renderedTemplate = VelocityUtils.getRenderedTemplate("/pages/exportword.vm", paramMap);
        MimeMessage mhtmlOutput = this.constructMimeMessage(renderedTemplate, imagesToDatasourceMap.values());
        mhtmlOutput.writeTo(response.getOutputStream());
        ......

前面会设置一些 header 之类的,然后将页面的内容渲染,返回renderedContent,之后交给this.extractImagesFromPage处理

private Map<String, DataSource> extractImagesFromPage(String renderedHtml) throws XMLStreamException, XhtmlException {
    Map<String, DataSource> imagesToDatasourceMap = new HashMap();
    Iterator var3 = this.excerpter.extractImageSrc(renderedHtml, MAX_EMBEDDED_IMAGES).iterator();

    while(var3.hasNext()) {
        String imgSrc = (String)var3.next();

        try {
            if (!imagesToDatasourceMap.containsKey(imgSrc)) {
                InputStream inputStream = this.createInputStreamFromRelativeUrl(imgSrc);
                if (inputStream != null) {
                    ByteArrayDataSource datasource = new ByteArrayDataSource(inputStream, this.mimetypesFileTypeMap.getContentType(imgSrc));
                    datasource.setName(DigestUtils.md5Hex(imgSrc));
                    imagesToDatasourceMap.put(imgSrc, datasource);
                    ......

这个函数的功能是提取页面中的图片,当被导出的页面包含图片时,将图片的链接提取出来,交给this.createInputStreamFromRelativeUrl处理

private InputStream createInputStreamFromRelativeUrl(String uri) {
    if (uri.startsWith("file:")) {
        return null;
    } else {
        Matcher matcher = RESOURCE_PATH_PATTERN.matcher(uri);
        String relativeUri = matcher.replaceFirst("/");
        String decodedUri = relativeUri;

        try {
            decodedUri = URLDecoder.decode(relativeUri, "UTF8");
        } catch (UnsupportedEncodingException var9) {
            log.error("Can't decode uri " + uri, var9);
        }

        if (this.pluginResourceLocator.matches(decodedUri)) {
            Map<String, String> queryParams = UrlUtil.getQueryParameters(decodedUri);
            decodedUri = this.stripQueryString(decodedUri);
            DownloadableResource resource = this.pluginResourceLocator.getDownloadableResource(decodedUri, queryParams);

            try {
                ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
                resource.streamResource(outputStream);
                return new ByteArrayInputStream(outputStream.toByteArray());
            } catch (DownloadException var11) {
                log.error("Unable to serve plugin resource to word export : uri " + uri, var11);
            }
        } else if (this.downloadResourceManager.matches(decodedUri)) {
            String userName = AuthenticatedUserThreadLocal.getUsername();
            String strippedUri = this.stripQueryString(decodedUri);
            DownloadResourceReader downloadResourceReader = this.getResourceReader(decodedUri, userName, strippedUri);
            if (downloadResourceReader == null) {
                strippedUri = this.stripQueryString(relativeUri);
                downloadResourceReader = this.getResourceReader(relativeUri, userName, strippedUri);
            }

            if (downloadResourceReader != null) {
                try {
                    return downloadResourceReader.getStreamForReading();
                } catch (Exception var10) {
                    log.warn("Could not retrieve image resource {} during Confluence word export :{}", decodedUri, var10.getMessage());
                    if (log.isDebugEnabled()) {
                        log.warn("Could not retrieve image resource " + decodedUri + " during Confluence word export :" + var10.getMessage(), var10);
                    }
                }
            }
        } else if (uri.startsWith("data:")) {
            return this.streamDataUrl(uri);
        }

..... 这个函数就是获取图片资源的,会对不同格式的图片链接进行不同的处理,这里重点是this.downloadResourceManager.matches(decodedUri),当跟到这里的时候,此时的this.downloadResourceManagerDelegatorDownloadResourceManager,并且下面有6个downloadResourceManager,其中就有我们想要的PackageResourceManager

跟到DelegatorDownloadResourceManager的matches方法。

public boolean matches(String resourcePath) {
    return !this.managersForResource(resourcePath).isEmpty();
}

......

    private List<DownloadResourceManager> managersForResource(String resourcePath) {
    return (List)this.downloadResourceManagers.stream().filter((manager) -> {
        return manager.matches(resourcePath) || manager.matches(resourcePath.toLowerCase());
    }).collect(Collectors.toList());
}

matches方法会调用managersForResource方法,分别调用每个downloadResourceManagermatches方法去匹配resourcePath,只要有一个downloadResourceManager匹配上了,就返回 true。来看下PackageResourceManagermatches方法

public PackageResourceManager(ResourceAccessor resourceAccessor) {
    this.resourceAccessor = resourceAccessor;
}

public boolean matches(String resourcePath) {
    return resourcePath.startsWith(BUNDLE_PLUGIN_PATH_REQUEST_PREFIX);
}

static {
    BUNDLE_PLUGIN_PATH_REQUEST_PREFIX = DownloadResourcePrefixEnum.PACKAGE_DOWNLOAD_RESOURCE_PREFIX.getPrefix();
}

resourcePath要以BUNDLE_PLUGIN_PATH_REQUEST_PREFIX开头才返回true,看下BUNDLE_PLUGIN_PATH_REQUEST_PREFIX,是DownloadResourcePrefixEnum中的PACKAGE_DOWNLOAD_RESOURCE_PREFIX,也就是/packages

public enum DownloadResourcePrefixEnum { ATTACHMENT_DOWNLOAD_RESOURCE_PREFIX("/download/attachments"), THUMBNAIL_DOWNLOAD_RESOURCE_PREFIX("/download/thumbnails"), ICON_DOWNLOAD_RESOURCE_PREFIX("/images/icons"), PACKAGE_DOWNLOAD_RESOURCE_PREFIX("/packages"); 所以,resourcePath要以/packages开头才会返回true。

回到createInputStreamFromRelativeUrl方法中,当有downloadResourceManager匹配上了decodedUri,就会进入分支。继续调用DownloadResourceReader downloadResourceReader = this.getResourceReader(decodedUri, userName, strippedUri);

private DownloadResourceReader getResourceReader(String uri, String userName, String strippedUri) {
    DownloadResourceReader downloadResourceReader = null;

    try {
        downloadResourceReader = this.downloadResourceManager.getResourceReader(userName, strippedUri, UrlUtil.getQueryParameters(uri));
    } catch (UnauthorizedDownloadResourceException var6) {
        log.debug("Not authorized to download resource " + uri, var6);
    } catch (DownloadResourceNotFoundException var7) {
        log.debug("No resource found for url " + uri, var7);
    }

    return downloadResourceReader;
}

跳到DelegatorDownloadResourceManager中的getResourceReader

public DownloadResourceReader getResourceReader(String userName, String resourcePath, Map parameters) throws DownloadResourceNotFoundException, UnauthorizedDownloadResourceException {
    List<DownloadResourceManager> matchedManagers = this.managersForResource(resourcePath);
    return matchedManagers.isEmpty() ? null : ((DownloadResourceManager)matchedManagers.get(0)).getResourceReader(userName, resourcePath, parameters);
}

这里会继续调用managersForResource去调用每个downloadResourceManagermatches方法去匹配resourcePath,如果匹配上了,就继续调用对应的downloadResourceManagergetResourceReader方法。到了这里,就把之前的都串起来了,如果我们让PackageResourceManager中的matches方法匹配上了resourcePath,那么这里就会继续调用PackageResourceManager中的getResourceReader方法,也就是漏洞的最终触发点。所以要进入到这里,resourcePath必须是以/packages开头。

整个流程图大概如下

构造

流程分析清楚了,现在就剩下怎么构造了。我们要插入一张链接以/packages开头的图片。

新建一个页面,插入一张网络图片

不能直接保存,直接保存的话插入的图像链接会自动拼接上网站地址,所以在保存的时候要使用 burpsuite 把自动拼接的网站地址去掉。

发布时,抓包

去掉网址

发布之后,可以看到,图片链接成功保存下来了

最后点击 导出 Word 触发漏洞即可。成功读取数据后会保存到图片中,然后放到 Word 文档里面,由于无法正常显示,所以使用 burp 来查看返回的数据。

成功读取到了/WEB-INF/web.xml的内容。

其他

这个漏洞是无法跳出web目录去读文件的,getResource最后是会调到org.apache.catalina.webresources.StandardRoot里面的getResource方法,这里面有个validate函数,对路径有限制和过滤,导致无法跳到/WEB-INF/的上一层目录,最多跳到同层目录。有兴趣的可以去跟一下。

参考链接

Local File Disclosure via Word Export in Confluence Server - CVE-2019-3394

转载于:https://my.oschina.net/u/4156697/blog/3101356

chr8230401
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Confluence漏洞学习——CVE-2021-26084/85,CVE-2022-26134漏洞复现
记录并分享学习安全的知识点..
07-24 2933
​ Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。攻击者在经过身份验证或在特定环境下未经身份验证的情况下,可构造OGNL表达式进行注入,实现在 Confluence Server或Data Center上执行任意代码。 ​.........
[ vulhub漏洞复现篇 ] Drupal 远程代码执行漏洞CVE-2019-6339)
qq_51577576的博客
02-20 578
[ vulhub漏洞复现篇 ] Drupal 远程代码执行漏洞CVE-2019-6339) Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。
Confluence 文件读取漏洞复现(CVE-2019-3394
黑白的博客
12-06 1566
声明 好好学习,天天向上 漏洞描述 Atlassian Confluence是企业广泛使用的wiki系统 Confluence Server 和 Data Center 在页面导出功能中存在本地文件泄露漏洞:具有“添加页面”空间权限的远程攻击者,能够读取 /confluence/WEB-INF/ 目录下的任意文件。 该目录可能包含用于与其他服务集成的配置文件,可能会泄漏认证凭据,例如 LDAP 认证凭据或其他敏感信息。 影响范围 6.1.0 <= version < 6.6.16 6.7.0 &
漏洞复现】CVE-2024-21683:Confluence远程代码执行漏洞
网络安全从业者的学习笔记
07-18 692
Atlassian Confluence 是一款功能强大的企业协作软件,专为团队协作、知识管理和内容共享而设计。它提供了一个集中的平台,团队可以共同创建、编辑和共享文档、会议记录、项目计划以及技术文档。经过管理员身份验证的远程威胁者可构造恶意请求,利用该漏洞在受影响的实例上执行任意代码,而无需用户交互。
Confluence 文件读取漏洞(CVE-2019-3394)复现
zzgslh的博客
04-07 760
漏洞详情】 Atlassian Confluence是企业广泛使用的wiki系统 Confluence Server 和 Data Center 在页面导出功能中存在本地文件泄露漏洞:具有“添加页面”空间权限的远程攻击者,能够读取 /confluence/WEB-INF/ 目录下的任意文件。 该目录可能包含用于与其他服务集成的配置文件,可能会泄漏认证凭据,例如 LDAP 认证凭据或其他敏感信息...
Confluence任意文件读取
打代码的小女孩
11-17 1959
影响系统 Atlassian Confluence 4.x 危害 远程攻击者利用漏洞上传恶意附件。 攻击所需条件 攻击者必须访问Atlassian Confluence漏洞信息 Atlassian Confluence(简称Confluence)是一个专业的wiki程序。它是一个知识管理的工具,通过它可以实现团队成员之间的协作和知识共享。 ...
Confluence文件读取漏洞复现
Websec
03-06 1329
1、Confluence系统都存在漏洞漏洞poc如下: /s/xx/_/;/WEB-INF/web.xml /s/xx/_/;/WEB-INF/decorators.xml /s/xx/_/;/WEB-INF/classes/seraph-config.xml /s/xx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties /s/xx/_/;/META-INF/maven/com.atlassian.jir
Atlassian Confluence 路径穿越与命令执行漏洞 CVE-2019-3396
最新发布
山兔的博客
08-07 471
2.影响版本:6.6.12之前所有6.6.x版本,6.12.3之前所有6.12.x版本,6.13.13之前所有6.13.x版本,6.14.2之前所有6.14.x版本。访问服务器ip地址,如:192.168.109.130:8090 进行安装,安装步骤如下:选择Trial Installation——》Next。直接使用邮箱账号,点击New Trial License——》select product——》Confluence。然后会让你填写用户名,如果提示填写路径,路径填写。我这边建立失败了,就不复现了。
Atlassian Confluence 路径穿越与命令执行漏洞CVE-2019-3396)
qq_45391176的博客
11-09 279
CVE-2019-3396 利用vulhub复现过程
CVE-2019-3396:Confluence 文件读取漏洞复现
nex1less的博客
11-26 4539
0x01 漏洞描述 Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本前存在一处未授权的目录穿越漏洞,通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。 0x02 漏洞环境 1.根据我过往博客安装vulhub 2.cd 到指定目录: cd vulhub/confluence/CVE-2019-3396 ...
confluence7安全补丁_Confluence 文件读取漏洞(CVE-2019-3394)分析
weixin_34984235的博客
02-15 837
作者: Badcode@知道创宇404实验室日期: 2019/08/29前言下午 @fnmsd 师傅发了个Confluence的预警给我,我看了下补丁,复现了这个漏洞,本篇文章记录下这个漏洞的应急过程。看下描述,Confluence Server 和 Data Center 在页面导出功能中存在本地文件泄露漏洞:具有“添加页面”空间权限的远程攻击者,能够读取/confluence/WEB-INF/...
漏洞复现|(CVE-2019-3396)Confluence文件读取&远程命令执行
weixin_42282189的博客
10-22 1186
作者: 墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 1、漏洞简介 Confluence是一个专业的企业知识管理与协同软件,常用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。Confluence Server 与 Confluence Data Center 中的 Widget Connector 存在服务端模板注入漏洞,攻击者构造特定请求可远程遍历服务器任意文件,进而可以包含恶意文件来执行代码.
CVE-2019-3394:[Confluence]敏感信息泄露漏洞
公众号shadow sock7
09-03 2090
这次没咋分析: https://mp.weixin.qq.com/s/puRrvfqWFVKvQ0hOoVs8lQ 写了一个poc: https://github.com/shadowsock5/Poc/tree/master/Confluence ,需要修改: url、用户名、密码、你自己的空间名 然后切换payload,改一下数字就行了。 最后confluence是加了一个过滤函数,判断...
漏洞复现--Confluence未授权管理用户添加 (CVE-2023-22515)
qq_53003652的博客
10-16 2024
2023年10月4日,Atlassian官方发布了对于CVE-2023-22515漏洞的补丁。这个漏洞是由属性覆盖导致,利用该漏洞攻击者可以重新执行Confluence安装流程并增加管理员账户。Atlassian Confluence是企业广泛使用的wiki系统。nuclei已上线该yaml (CVE-2023-22515)此时用户已经创建完毕,登录。
confluence漏洞复现
Shanfenglan's blog
12-02 3671
文章目录1. confluence路径穿越与命令之执行 (CVE-2019-3396)1.1 利用2. Confluence OGNL表达式注入代码执行漏洞CVE-2021-26084)2.1 利用参考文章 1. confluence路径穿越与命令之执行 (CVE-2019-3396) 影响版本:6.14.2版本前 通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。 1.1 利用 POST /rest/tinymce/1/macro/preview HTTP/1.1 Host
Atlassian Confluence 远程代码执行漏洞CVE-2022-26134)复现
weixin_42489549的博客
06-29 8805
CVE-2022-26134 Confluence远程命令执行漏洞复现
Atlassian Confluence 远程代码执行漏洞CVE-2022-26134)漏洞复现
网安君的博客
06-07 3041
本文章仅供学习和研究使用,严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表明您默认遵守该内容。CVE-2022-26134的漏洞是一个严重的未经身份验证的远程代码执行漏洞,通过 OGNL 注入利用并影响 1.3.0 版之后的所有 Atlassian Confluence 和 Data Center 2016 服务器。成功利用允许未经身份验证的远程攻击者创建新的管理员帐户、执行命令并最终接管服务器。1.3.0 ..
CVE-2022-26138 Confluence Server硬编码漏洞复现
热爱学习,喜欢折腾!
10-13 2499
Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。7月,Atlassian官方发布了2022年7月的安全更新,其中涉及到Confluence Server的多个漏洞,其中CVE-2022-26138为一个硬编码漏洞
Docker中部署Confluence与Jira-Software详细步骤
- 应用容器(confluence-jira):192.168.0.100 - Confluence: - 数据库容器(wiki-mysql):192.168.0.20 - 应用容器(confluence-wiki):192.168.0.200 Docker CE环境配置: 1. 安装Docker: - 首先卸载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值