Confluence 未授权 RCE (CVE-2019-3396) 漏洞分析

最新推荐文章于 2024-09-05 05:28:19 发布
最新推荐文章于 2024-09-05 05:28:19 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 网络安全 漏洞 晓得哥的技术之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44058342/article/details/89217160
版权
本文详细分析了Confluence的未授权远程代码执行(RCE)漏洞(CVE-2019-3396),涉及Widget Connector组件中的服务端模板注入。通过研究补丁,作者发现攻击者可能利用此漏洞进行目录穿越和RCE。漏洞关键在于Template_param参数,允许外部传入模板路径。经过调试和测试,发现在某些版本中,利用file://或特定协议可以绕过目录限制,实现本地和远程模板加载,从而执行命令。文章还提到了漏洞影响范围和检测方法。
摘要由CSDN通过智能技术生成

看到官方发布了预警,于是开始了漏洞应急。漏洞描述中指出Confluence Server与Confluence Data Center中的Widget Connector存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越与远程代码执行。
在这里插入图片描述
确认漏洞点是Widget Connector,下载最新版的比对补丁,发现在com\atlassian\confluence\extra\widgetconnector\WidgetMacro.java里面多了一个过滤,这个应该就是这个漏洞最关键的地方。
在这里插入图片描述
可以看到

this.sanitizeFields =
Collections.unmodifiableList(Arrays.asList(VelocityRenderService.TEMPLATE_PARAM));

而TEMPLATE_PARAM的值就是_template,所以这个补丁就是过滤了外部传入的_template参数。

public interface VelocityRenderService { public static final String
WIDTH_PARAM = “width”; public static final String HEIGHT_PARAM =
“height”; public static final String TEMPLATE_PARAM = “_template”;

翻了一下Widget Connector里面的文件,发现TEMPLATE_PARAM就是模板文件的路径。

public class FriendFeedRenderer implements WidgetRenderer { private
static final String MATCH_URL = “friendfeed.com”; private static
final String PATTERN = "friendfeed.com/(\w+)/?"; private static
final String VELOCITY_TEMPLATE =
“com/atlassian/confluence/extra/widgetconnector/templates/simplejscript.vm”;

private VelocityRenderService velocityRenderService; …
public String getEmbeddedHtml(String url, Map<String, String> params)
{
params.put(VelocityRenderService.TEMPLATE_PARAM, VELOCITY_TEMPLATE);
return velocityRenderService.render(getEmbedUrl(url), params); }

加载外部的链接时,会调用相对的模板去渲染,如上,模板的路径一般是写死的,但是也有例外,补丁的作用也说明有人突破了限制,调用了意料之外的模板,从而造成了模板注入。

在了解了补丁和有了一些大概的猜测之后,开始尝试。

首先先找到这个功能,翻了一下官方的文档,找到了这个功能,可以在文档中嵌入一些视频,文档之类的。
在这里插入图片描述
看到这个,有点激动了,因为在翻补丁的过程中,发现了几个参数,url,width,height正好对应着这里,那_template是不是也从这里传递进去的?

随便找个Youtube视频插入试试,点击预览,抓包。
在这里插入图片描述
在params中尝试插入_template参数,好吧,没啥反应。。
在这里插入图片描述
开始debug模式,因为测试插入的是Youtube视频,所以调用的是com/atlassian/confluence/extra/widgetconnector/video/YoutubeRenderer.class

public class YoutubeRenderer implements WidgetRenderer,
WidgetImagePlaceholder { private static final Pattern
YOUTUBE_URL_PATTERN =
Pattern.compile(“https??/(.+\.)?youtube.com.(\?v=([^&]+)).$”);
private final PlaceholderService placeholderService; private final
String DEFAULT_YOUTUBE_TEMPLATE =
“com/atlassian/confluence/extra/widgetconnector/templates/youtube.vm”;

public String getEmbedUrl(String url) {
Matcher youtubeUrlMatcher = YOUTUBE_URL_PATTERN.matcher(this.verifyEmbeddedPlayerString(url));
return youtubeUrlMatcher.matches() ? String.format("//www.youtube.com/embed/%s?wmode=opaque",
youtubeUrlMatcher.group(3)) : null; }

public boolean matches(String url) {
return YOUTUBE_URL_PATTERN.matcher(this.verifyEmbeddedPlayerString(url)).matches();
}

private String verifyEmbeddedPlayerString(String url) {
return !url.contains(“feature=player_embedded&”) ? url : url.replace(“feature=player_embedded&”, “”); }

public String getEmbeddedHtml(String url, Map<String, String>
params) {
return this.velocityRenderService.render(this.getEmbedUrl(url), this.setDefaultParam(params)); }

在getEmbeddedHtml下断点,先会调用getEmbedUrl对用户传入的url进行正则匹配,因为我们传入的是个正常的Youtube视频,所以这里是没有问题的,然后调用setDefaultParam函数对传入的其他参数进行处理。

private Map<String, String> setDefaultParam(Map<String, String>
params) {
String width = (String)params.get(“width”);
String height = (String)params.get(“height”);
if (!params.containsKey("_template")) {
params.put("_template", “com/atlassian/confluence/extra/widgetconnector/templates/youtube.vm”);
}

    if (StringUtils.isEmpty(width)) {
        params.put("width", "400px");
    } else if (StringUtils.isNumeric(width)) {
        params.put("width", width.concat("px"));
    }

    if (StringUtils.isEmpty(height)) {
        params.put("height", "300px");
    } else if (StringUtils.isNumeric(height)) {
        params.put("height", height.concat("px"));
    }

    return params;
}

取出width和height来判断是否为空,为空则设置默认值。关键的_template参数来了,如果外部传入的参数没有_template,则设置默认的Youtube模板。如果传入了,就使用传入的,也就是说,aaaa是成功的传进来了。
在这里插入图片描述
大概翻了一下Widget Connector里面的Renderer,大部分是不能设置_template的,是直接写死了,也有一些例外,如Youtube,Viddler,DailyMotion等,是可以从外部传入_template的。

能传递_template了,接下来看下是如何取模板和渲染模板的。

跟进this.velocityRenderService.render,也就是com/atlassian/confluence/extra/widgetconnector/services/DefaultVelocityRenderService.class里面的render方法。

public String render(String url, Map<String, String> params) {
String width = (String)params.get(“width”);
String height = (String)params.get(“height”);
String template = (String)params.get("_template");
if (StringUtils.isEmpty(template)) {
template = “com/atlassian/confluence/extra/widgetconnector/templates/embed.vm”;
}

    if (StringUtils.isEmpty(url)) {
        return null;
    } else {
        Map<String, Object> contextMap = this.getDefaultVelocityContext();
        Iterator var7 = params.entrySet().iterator();

        while(var7.hasNext()) {
            Entry<String, String> entry = (Entry)var7.next();
            if (((String)entry.getKey()).contentEquals("tweetHtml")) {
                contextMap.put(entry.getKey(), entry.getValue());
            } else {
                contextMap.put(entry.getKey(), GeneralUtil.htmlEncode((String)entry.getValue()));
            }
        }

        contextMap.put("urlHtml", GeneralUtil.htmlEncode(url));
        if (StringUtils.isNotEmpty(width)) {
            contextMap.put("width", GeneralUtil.htmlEncode(width));
        } else {
            contextMap.put("width", "400");
        }

        if (StringUtils.isNotEmpty(height)) {
            contextMap.put("height", GeneralUtil.htmlEncode(height));
        } else {
            contextMap.put("height", "300");
        }

        return this.getRenderedTemplate(template, contextMap);
    }
}

_template取出来赋值给template,其他传递进来的参数取出来经过判断之后放入到contextMap,调用getRenderedTemplate函数,也就是调用VelocityUtils.getRenderedTemplate。

protected String getRenderedTemplate(String template, Map<String,
Object> contextMap){
return VelocityUtils.getRenderedTemplate(template, contextMap);
}

一路调用,调用链如下图,最后来到/com/atlassian/confluence/util/velocity/ConfigurableResourceManager.class的loadResource函数,来获取模板。
在这里插入图片描述
这里调用了4个ResourceLoader去取模板。

com.atlassian.confluence.setup.velocity.HibernateResourceLoader
org.apache.velocity.runtime.resource.loader.FileResourceLoader
org.apache.velocity.runtime.resource.loader.ClasspathResourceLoader
com.atlassian.confluence.setup.velocity.DynamicPluginResourceLoader

这里主要看下Velocity自带的FileResourceLoader和ClasspathResourceLoader

FileResourceLoader会对用户传入的模板路径使用normalizePath函数进行校验
在这里插入图片描述
可以看到,过滤了/…/,这样就导致没有办法跳目录了。
在这里插入图片描述
路径过滤后调用findTemplate查找模板,可看到,会拼接一个固定的path,这是Confluence的安装路径。
在这里插入图片描述
也就是说现在可以利用FileResourceLoader来读取Confluence目录下面的文件了。

尝试读取/WEB-INF/web.xml文件,可以看到,是成功的加载到了该文件。
在这里插入图片描述
但是这个无法跳出Confluence的目录,因为不能用/…/。

再来看下ClasspathResourceLoader

public InputStream getResourceStream(String name) throws
ResourceNotFoundException {
InputStream result = null;
if (StringUtils.isEmpty(name)) {
throw new ResourceNotFoundException(“No template name provided”);
} else {
try {
result = ClassUtils.getResourceAsStream(this.getClass(), name); …
}

跟进ClassUtils.getResourceAsStream

public static InputStream getResourceAsStream(Class claz, String name)
{
while(name.startsWith("/")) {
name = name.substring(1);
}

    ClassLoader classLoader = Thread.currentThread().getContextClassLoader();
    InputStream result;
    if (classLoader == null) {
        classLoader = claz.getClassLoader();
        result = classLoader.getResourceAsStream(name);
    } else {
        result = classLoader.getResourceAsStream(name);
        if (result == null) {
            classLoader = claz.getClassLoader();
            if (classLoader != null) {
                result = classLoader.getResourceAsStream(name);
            }
        }
    }

    return result;
}

会跳到/org/apache/catalina/loader/WebappClassLoaderBase.class
在这里插入图片描述
跟进,发现会拼接/WEB-INF/classes,而且其中也是调用了normalize对传入的路径进行过滤。。
在这里插入图片描述
这里还是可以用…/跳一级目录。

尝试读取一下…/web.xml,可以看到,也是可以读取成功的,但是仍然无法跳出目录。
在这里插入图片描述
我这里测试用的版本是6.14.1,而后尝试了file://,http://,https://都没有成功。后来我尝试把Cookie删掉,发现还是可以读取文件,确认了这个漏洞不需要权限,但是跳不出目录。应急就在这里卡住了。

而后的几天,有大佬说用file://协议可以跳出目录限制,我惊了,我确定当时是已经试过了,没有成功的。看了大佬的截图,发现用的是6.9.0的版本,我下载了,尝试了一下,发现真的可以。

问题还是在ClasspathResourceLoader上面,步骤和之前的是一样的,断到/org/apache/catalina/loader/WebappClassLoaderBase.class的getResourceAsStream方法

前面拼接/WEB-INF/classes获取失败后,继续往下进行。
在这里插入图片描述
跟进findResource,函数前面仍然获取失败
在这里插入图片描述
关键的地方就在这里,会调用super.findResource(name),这里返回了URL,也就是能获取到对象。
在这里插入图片描述
不仅如此,这里还可以使用其他协议(https,ftp等)获取远程的对象,意味着可以加载远程的对象。
在这里插入图片描述
获取到URL对象之后,继续回到之前的getResourceAsStream,可以看到,当返回的url不为null时,

会调用url.openStream()获取数据。
在这里插入图片描述
最终获取到数据给Velocity渲染。

尝试一下
在这里插入图片描述
至于6.14.1为啥不行,赶着应急,后续会跟,如果有新的发现,会同步上来,目前只看到ClassLoader不一样。

6.14.1
在这里插入图片描述
6.9.0
在这里插入图片描述
这两个loader的关系如下
在这里插入图片描述
现在可以加载本地和远程模板了,可以尝试进行RCE。

关于Velocity的RCE,基本上payload都来源于15年blackhat的服务端模板注入的议题,但是在Confluence上用不了,因为在调用方法的时候会经过velocity-htmlsafe-1.5.1.jar,里面多了一些过滤和限制。但是仍然可以利用反射来执行命令。

用python -m pyftpdlib -p 2121开启一个简单的ftp服务器,将payload保存成rce.vm,保存在当前目录。

将_template设置成ftp://localhost:2121/rce.vm,发送,成功执行命令。
在这里插入图片描述
对于命令回显,同样可以使用反射构造出payload,执行ipconfig的结果。
在这里插入图片描述
漏洞影响

根据 ZoomEye 网络空间搜索引擎对关键字 “X-Confluence” 进行搜索,共得到 61,856 条结果,主要分布美国、德国、中国等国家。
在这里插入图片描述
全球分布(非漏洞影响范围)
在这里插入图片描述
中国分布(非漏洞影响范围)
在这里插入图片描述
漏洞检测

2019年4月4日,404实验室公布了该漏洞的检测PoC,可以利用这个PoC检测Confluence是否受该漏洞影响。
在这里插入图片描述

晓得哥
关注
专栏目录
Atlassian Confluence CVE-2022-26134 RCE漏洞
sxr__nc的博客
04-22 1129
漏洞环境搭建前期主要搭建动态调试环境,但是一直失败(这里主要记录下动态调试环境搭建过程,待之后再碰到类似的问题,希望能够解决)通常称为服务端小程序,是服务端的程序,用于处理及响应客户的请求。之后即可直接调试(这次是成功了的,可以正常动态调试,反思和之前不一样的操作就是在弹出。直接对比补丁包的修改,入手点参考网上已有的分析报告.主要参考链接在文末给出.填入密钥,因为我这里已经注册过了,所以直接填入密钥,没注册过,可以点击。的环境基本上已经搭建完毕了,接下来进行网站设置,我选择的是。(直接进行动态调试)
Confluence漏洞学习——CVE-2021-26084/85,CVE-2022-26134漏洞复现
记录并分享学习安全的知识点..
07-24 2982
​ Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。攻击者在经过身份验证或在特定环境下经身份验证的情况下,可构造OGNL表达式进行注入,实现在 Confluence Server或Data Center上执行任意代码。 ​.........
Confluence 授权漏洞分析CVE-2023-22515)
hackzkaq的博客
11-28 1101
在处理完上述工作后,Struts2 就会调用拦截器链中的拦截器,这些拦截器会根据用户请求参数值去更新 ValueStack 对象顶层节点的相应属性的值,最后会传到 Action 对象,并将 ValueStack 对象中的属性值,赋给 Action 类的相应属性。总的来说, 因为 方法的一些逻辑问题, 导致这个类自身对传入参数的过滤并没有生效, 我们最终还是可以通过 的形式去调用当前 action 的 getter / setter, 并不需要关心方法本身或者它的 returnType 是否使用了 注解。
CVE-2024-26084(confluence
最新发布
2401_86437117的博客
09-05 1143
Confluence Server、Confluence Data Center等产品存在OGNL 注入漏洞,允许经过身份验证的用户(在某些情况下的经身份验证的用户)在 Confluence Server或Confluence Data Center实例上执行任意代码。
Confluence授权模板注入/代码执行(CVE-2019-3396)
公众号shadow sock7
04-04 6706
https://jira.atlassian.com/browse/CONFSERVER-57974 https://github.com/knownsec/pocsuite3/blob/master/pocsuite3/pocs/20190404_WEB_Confluence_path_traversal.py Poc POST /rest/tinymce/1/macro/preview HTT...
(转)Confluence 授权 RCE (CVE-2019-3396) 漏洞分析
葡萄城技术团队博客
04-16 1892
看到官方发布了预警,于是开始了漏洞应急。漏洞描述中指出Confluence Server与Confluence Data Center中的Widget Connector存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越与远程代码执行。 确认漏洞点是Widget Connector,下载最新版的比对补丁,发现在com\atlassian\confluence\extra\widget...
Atlassian Confluence RCE漏洞复现(CVE-2023-22527)
0xSec
01-23 2168
Atlassian Confluence/template/aui/text-inline.vm接口处存在velocity模板注入,经身份验证的攻击者可利用此漏洞构造恶意请求远程代码执行,可导致服务器失陷
[ vulhub漏洞复现篇 ] Drupal 远程代码执行漏洞CVE-2019-6339)
qq_51577576的博客
02-20 630
[ vulhub漏洞复现篇 ] Drupal 远程代码执行漏洞CVE-2019-6339) Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。
Confluence RCE CVE-2019-3396 详细分析与调试
u010704579的博客
12-12 499
Confluence RCE CVE-2019-3396
Atlassian Confluence 路径穿越与命令执行漏洞CVE-2019-3396
黑白的博客
12-07 2168
声明 好好学习,天天向上 漏洞描述 Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本前存在一处授权的目录穿越漏洞,通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。 影响范围 6.6.12版本之前所有版本 6.7.0-6.12.2版本 6.13.3之前的所有6.13.x版本 6.14.2之前的所有6.14.x版本 复现过程 这里使用6.10.2版本 使用vulhub cd /app/vulhub-master/confluence/CV
CVE-2019-3396Confluence 文件读取漏洞复现
nex1less的博客
11-26 4619
0x01 漏洞描述 Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本前存在一处授权的目录穿越漏洞,通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。 0x02 漏洞环境 1.根据我过往博客安装vulhub 2.cd 到指定目录: cd vulhub/confluence/CVE-2019-3396 ...
利用Vulnhub复现漏洞 - Atlassian Confluence 路径穿越与命令执行漏洞CVE-2019-3396
JiangBuLiu的博客
06-28 2113
Atlassian Confluence 路径穿越与命令执行漏洞CVE-2019-3396)Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现 Vulnhub官方复现教程 https://vulhub.org/#/environments/confluence/CVE-2019-3396/ 漏洞原理 Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本...
漏洞复现|(CVE-2019-3396Confluence文件读取&远程命令执行
weixin_42282189的博客
10-22 1223
作者: 墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 1、漏洞简介 Confluence是一个专业的企业知识管理与协同软件,常用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。Confluence Server 与 Confluence Data Center 中的 Widget Connector 存在服务端模板注入漏洞,攻击者构造特定请求可远程遍历服务器任意文件,进而可以包含恶意文件来执行代码.
CVE-2019-3396 实战反弹shell
weixin_45439698的博客
07-22 2870
前言 距离4月4日Confluence官方发布远程命令执行高危漏洞的安全更新距今已快一周的时间。在网上也陆续爆出了一系列的POC,但是这些POC仅局限于测试是否存在漏洞,或者就是只是命令执行,并不能进行shell的反弹,如果不能反弹shell,那要这洞有何用。 于是我花了一下午的时间去进行测试,才有了这篇利用该漏洞进行实战反弹shell的文章。 准备 鉴于网上已有一系列的分析文章,这里我也不做漏洞...
CVE -2022-26134漏洞复现(Confluence OGNL 注入rce漏洞)
qq_17754023的博客
06-04 5214
Atlassian ConfluenceAtlassian Confluence是一个专业的企业知识管理与协同软件,主要用于公司内员工创建知识库并建立知识管理流程,也可以用于构建企业wiki。其使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。因此,该系统被国内较多知名互联网企业所采用,应用范围较广,因此该漏洞威胁影响范围较大。 0x02 漏洞概述Atlassian Confluence存在远程代码执行漏洞,攻击者可以利用该漏洞直接获取目标系统权限。...
CVE-2019-3396 Confluence RCE漏洞简单粗暴复现
qq_42886216的博客
09-29 1302
CVE-2019-3396 Confluence RCE漏洞简单粗暴复现 1,前言 网上也有很多关于该漏洞的说明和复现,不再做过多阐述,在复现该漏洞时踩了一些坑,然后发现了一个快速复现的方法,所以本篇文章介绍的是如何简单快速地复现该漏洞。 2.漏洞复现过程简述 (1)rm文件 需求:需要远程包含一个后缀是.rm的文件,文件内容如下 #set ($e="exp") #set ($a=$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime
Python常见安全漏洞及修复方法集合!你所不会的这里都有!
weixin_33895695的博客
11-17 480
概述编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库中,也存在着许多糟糕的实例。然而,许多 Python 开发人员却根本不知道这些。以下是我总结的10个Python常见安全漏洞,排名不分先后。1、输入注入注入攻击影响广泛且很常见,注入有很多种类,它们影响所有的语言、框架和环境。SQL ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值