Confluence 目录穿越漏洞导致代码执行CVE-2019-3398

0x00 漏洞详情

Confluence Server和Data Center产品在downloadallattachments资源中存在一个路径穿越漏洞。有权向页面和(或)博客添加附件,或创建新空间或个人空间,或者对空间具有“管理员”权限的远程***者可以利用此漏洞将文件写入任意位置,最终导致远程代码执行。

0x01 影响范围

0x02 修复建议

升级Confluence Server或Data Center版本:
6.6.13
6.13.4
6.14.3
6.15.2
执行官方缓解措施:
停止Confluence编辑<install-directory>/conf/server.xml
如果你没有为 Confluence 配置 context path,则将以下代码添加至 <Host> 元素中:
<br/>&lt;Context path="/pages/downloadallattachments.action" docBase="" &gt; &lt;Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" /&gt; &lt;/Context&gt;

如果你为 Confluence 配置了 context path,比如说 /wiki,则需要将以下代码添加至 <Host> 元素中:
<br/>&lt;Context path="/wiki/pages/downloadallattachments.action" docBase="" &gt; &lt;Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" /&gt; &lt;/Context&gt;

0x03 环境搭建

wget https://www.atlassian.com/software/confluence/downloads/binary/atlassian-confluence-6.13.0.zip<br/>unzip atlassian-confluence-6.13.0.zip<br/>cd atlassian-confluence-6.13.0/confluence/WEB-INF/classes<br/>
编辑confluence-init.properties
修改confluence.home

启动:
cd atlassian-confluence-6.13.0/bin
./start-confluence.sh

0x04 漏洞复现

第一步上传文件:

第二步:打包下载(触发漏洞)

第三步:访问shell
http://192.168.56.248:8090/cmd13.jsp?comment=whoami

0x05 漏洞分析

使用idea 进行远程调试
首先需要在catalina.sh 添加如下代码
export JAVA_OPTS=‘-Xdebug -Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=8002‘<br/>
在idea中配置:

此时可以进行远程调试了
`public String execute() throws Exception {
List<Attachment> latestAttachments = this.attachmentManager.getLatestVersionsOfAttachments(this.getPage());
Iterator var2 = latestAttachments.iterator();

    while(var2.hasNext()) {
        Attachment attachment = (Attachment)var2.next();
        File tmpFile = new File(this.getTempDirectoryForZipping(), attachment.getFileName());
        InputStream inputStream = this.attachmentManager.getAttachmentData(attachment);
        Throwable var6 = null;

        try {
            OutputStream fileOutputStream = new FileOutputStream(tmpFile);
            Throwable var8 = null;

            try {
                ByteStreams.copy(inputStream, fileOutputStream);
            } catch (Throwable var31) {
                var8 = var31;
                throw var31;
            } finally {
                if (fileOutputStream != null) {
                    if (var8 != null) {
                        try {
                            fileOutputStream.close();
                        } catch (Throwable var30) {
                            var8.addSuppressed(var30);
                        }
                    } else {
                        fileOutputStream.close();
                    }
                }

            }
        } catch (Throwable var33) {
            var6 = var33;
            throw var33;
        } finally {
            if (inputStream != null) {
                if (var6 != null) {
                    try {
                        inputStream.close();
                    } catch (Throwable var29) {
                        var6.addSuppressed(var29);
                    }
                } else {
                    inputStream.close();
                }
            }

        }
    }

    File zipFile = new File(this.getConfluenceTempDirectoryPath() + File.separator + this.getZipFilename() + ".zip");
    FileUtils.createZipFile(this.getTempDirectoryForZipping(), zipFile);
    FileUtils.deleteDir(this.getTempDirectoryForZipping());
    this.downloadPath = this.prepareDownloadPath(zipFile.getPath()) + "?contentType=application/zip";
    this.gateKeeper.addKey(this.prepareDownloadPath(zipFile.getPath()), this.getAuthenticatedUser());
    return "success";
}`

漏洞产生在:
ByteStreams.copy(inputStream, fileOutputStream);

跟踪fileOutputStream

attachment有title参数:

attachment.getFileName() 获取的值就是title

title 值来源

<br/>InputStream inStream = this.getStreamForEncoding(this.httpServletRequest);<br/>this.fileUploadManager.storeResource(new InputStreamAttachmentResource(inStream, this.filename, this.mimeType, this.size, (String)null, this.minorEdit), (ContentEntityObject)content);<br/>if (this.withEditorPlaceholder) {<br/>this.jsonResult.put("htmlForEditor", this.dragAndDropService.getAttachmentEditorHtml(this.filename, (ContentEntityObject)content, this.isVFMSupported, this.contentType));<br/>}<br/>
对filename 没有进行任何过滤

0x06 参考链接

https://confluence.atlassian.com/doc/confluence-security-advisory-2019-04-17-968660855.html
https://twitter.com/search?q=CVE-2019-3398&src=typd

https://www.atlassian.com/software/confluence/download-archives?_ga=2.89576473.387035393.1555556487-322510123.1555556487

https://confluence.atlassian.com/conf59/installing-confluence-on-linux-792499834.html

原文地址:https://blog.51cto.com/13770310/2381555

时间: 2024-11-21 02:27:36

Confluence 目录穿越漏洞导致代码执行CVE-2019-3398的相关文章

Confluence未授权模板注入/代码执行(CVE-2019-3396)

--- title: Confluence未授权模板注入/代码执行(CVE-2019-3396) tags: [poc,cve] num :g7y12 --- # 简介 --- Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki.使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息.文档协作.集体讨论,信息推送. # 影响范围 6.6.12版本之前所有版本 6.7.0-6.12.2版本 6.13.3之前的所有6.13.x版本 6.14.2之前的所有6

网站安全(13) ——目录穿越漏洞(Directory Traversal)

如果应用程序使用用户可控制的数据,以危险的方式访问位于应用服务器或其它后端文件系统的文件或目录,就会出现路径遍历. 攻击者可以将路径遍历序列放入文件名内,向上回溯,从而访问服务器上的任何文件,路径遍历序列叫"点-点-斜线"(..\) http://***/go.action?file=..\..\etc\passwd 避开过滤第一种是过滤文件名参数中是否存在任何路径遍历序列(..\)如果程序尝试删除(..\)来净化用户输入,可以用-.// -.\/ -./\ -.\\进行URL编码点–

ecshop 全系列版本网站漏洞 远程代码执行sql注入漏洞

ecshop漏洞于2018年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本以及目前最新的3.0.3.6.4.0版本都受此次ecshop漏洞的影响,主要漏洞是利用远程代码执行sql注入语句漏洞,导致可以插入sql查询代码以及写入代码到网站服务器里,严重的可以直接获取服务器的管理员权限,甚至有些网站使用的是虚拟主机,可以直接获取网站ftp的权限,该漏洞POC已公开,使用简单,目前很多商城网站都被×××,危害较大,针对于此我们SINE安全对该ECSHOP漏洞的详情以及如

Apache Struts最新漏洞 远程代码执行漏洞预警 2018年11月08日

2018年11月8日,SINE安全监控检测中心,检测到Apache Struts官方更新了一个Struts漏洞补丁,这个漏洞是Apache Struts目前最新的漏洞,影响范围较广,低于Apache Struts 2.3.35的版本都会受到此次Struts漏洞的攻击,目前apache官方更新的漏洞补丁,主要是修复commonsfileupload上传库出现的安全问题,这个库可以远程执行代码,上传木马后门到网站服务器中去. Apache Struts 漏洞描述 某知名的安全组织向Apache St

2020/1/28 PHP代码审计之代码执行漏洞

0x00代码执行原理 应用程序有时需要调用一些执行系统命令的函数,如在PHP中,使用system.exec.shell_exec.passthru.popen.proc_popen等函数可以执行系统命令.当黑客能控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常命令中,从而造成命令执行漏洞,这就是命令执行漏洞. 通常会使用escapeshellarg对参数进行处理,但在低版本的PHP库函数中该函数存在漏洞(原因:Windows上未对反斜杠进行过滤),需要注意. 0x01 挖掘思路 1:用户

9_任意代码执行(字符串转换成代码执行)

一.背景介绍 当应用在调用一些能将字符串转化为代码的函数(如php中的eval)时,没有考虑用户是否能控制这个字符串,将造成代码注入漏洞.狭义的代码注入通常指将可执行代码注入到当前页面中,如php的eval函数,可以将字符串代表的代码作为php代码执行,当用户能够控制这段字符串时,将产生代码注入代码注入漏洞(也称命令执行).广义上的代码注入,可以覆盖大半安全漏洞的分类. 二.漏洞成因 几种常用语言,都有将字符串转化成代码去执行的相关函数. PHP:eval assert Python:exec

5. 通过PHP反序列化进行远程代码执行

通过PHP反序列化进行远程代码执行 0×00 前言 在NotSoSecure,我们每日都会进行渗透测试或代码审查,不过最近我们遇到了一段有趣的PHP代码,它可能会导致远程代码执行(RCE)漏洞,但对它进行利用却有点棘手. 在经历了几个试图破解这段代码的不眠之夜后,我们确信利用这个漏洞可以同时进行应用级和系统级别的代码执行.这篇来自Rahul Sasi的博文将讲解关于该漏洞的一些信息,以及如何对其进行利用. 0×01 包含漏洞的代码 在上面的代码中,用户控制的值可能会被传递给PHP的反序列化函数.

Linux内核竞争条件漏洞-导致远程代码执行

导读 *本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担. 运行了Linux发行版的计算机设备,如果内核版本小于5.0.8的话,将有可能受到一个内核竞争条件漏洞的影响,并导致系统无法抵御远程网络攻击.潜在的攻击者可以利用Linux内核中net/rds/tcp.c的rds_tcp_kill_sock TCP/IP实现缺陷,从而触发设备的拒绝服务(DoS)状态,并在受影响的设备上实现远程代码执行.攻击者可以通过特制的TCP数据包对存在漏

WinRAR代码执行漏洞复现

漏洞介绍 WinRAR 是一款流行的解压缩工具,据其官网上发布的数据,全球有超过5亿的用户在使用 2019年2月20日,安全厂商 checkpoint 发布了名为<Extracting a 19 Year old code Execution from WinRAR>的文章,文章披露了一个存在于 winRAR 中用于 ace 文件解析的 DLL 模块中的绝对路径穿越漏洞,可导致远程代码执行. 漏洞类型:代码执行 漏洞利用条件:将压缩包解压到当前文件夹,同时释放恶意文件到指定目录,重启机器便会触