溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章給大家介紹怎么實現Confluence路徑穿越漏洞的分析及復現,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。
最近,全球領先的網絡安全公司 FireEye 疑遭某 APT 組織的攻擊,其大量政府客戶的信息遭越權訪問,且紅隊工具被盜。雖然目前尚不清楚這些紅隊工具將被如何處置,但FireEye 公司在 GitHub 上發布了一些應對措施。奇安信代碼安全實驗室將從技術角度,對 GitHub 倉庫中的相關漏洞進行分析復現,希望能給讀者帶來一些啟發,做好防御措施。
Atlassian Confluence Server是澳大利亞Atlassian公司的一套協同軟件服務器版本,具有企業知識管理功能,并支持用于構建企業WiKi。Atlassian Confluence Data Center 是 Atlassian Confluence 的數據中心版本。
Atlassian Confluence Server 和Confluence Data Center 在downloadallattachments 資源中存在路徑穿越漏洞。當遠程用戶能夠向博客頁面添加附件,或創建空間,或對某個空間具有管理員權限,就可能使用包含目錄遍歷序列(‘../’)的文件名造成路徑穿越問題,且在一定條件下可以執行任意代碼。
Atlassian Confluence Server
confluence Data Center
2.0.0 <= version < 6.6.13
6.7.0 <= version < 6.12.4
6.13.0 <= version < 6.13.4
6.14.0 <= version < 6.14.3
6.15.0 <= version < 6.15.2
6.6.13
6.12.4
6.13.4
6.14.3
6.15.2
Centos7
Jdk-1.8.0_272
Mysql 5.7
Confluence 6.15.1
搭建好環境后,創建一篇博客,title 和 content 隨意任選。
該漏洞關鍵點有兩個:上傳一個文件名帶有 “../” 的附件和下載該附件所在博客頁面的全部附件。上傳觸發點位于對現有博客進行編輯時的頁面上:
可添加附件,插入文件或圖片。
上傳附件時更改文件名。
Insert 之后進行 update 保存。該上傳功能處理代碼位于Confluence安裝目錄下confluence/WEB-INF/atlassian-bundled-plugins/confluence-drag-and-drop-6.15.1.jar/com.atlassian,confluence.plugins/dragdrop/UploadAcrion.class文件中。
由于該段代碼中未對 filename 做安全檢查,因而 “../” 字段可以成功插入filename中。
在該博客頁面點擊附件可以查看附件列表。
全部下載功能需要該博客頁面有至少兩個附件,上傳成功后博客附件文件名會帶有“../”。
點擊 Downdload All,可以看到文件名為 download、隨機字符和時間拼接成的zip文件,即 downloadG6tgT025851.zip,響應的 location 位置在download/tmp/ 下,直接在根目錄下搜索該文件,可以找到存儲地址。
該zip文件的上兩級目錄中存在 test.txt 文件。該 download all 的處理功能代碼位于 confluence 安裝目錄下的 confluence/WEB-INF/lib/confluence-6.15.1.jar/com/atlassian/confluence/pages/DownloadLAllAttachmentsOnPageAction.class文件中。
整個復制過程并沒有對文件名和文件內容做安全檢查。
getTempDirectoryForZipping() 和getZipFilename()兩個函數會根據時間和隨機數生成附件文件緩存的目錄,目錄會存放在 confluence.home/temp/下,confluence.home對應如下:
可知前面下載全部附件時zip的文件名結構和存放位置。copy時,緩存流中的附件 ../../test.txt 就存放在/confluencehome/temp/downloadG6tgT025851/ 下。
將此目錄打包后,由于目錄遍歷序列(‘../’)的作用,/confluencehome/test.txt文件也就保留了下來。因此也就造成了目錄穿越漏洞。
更新至最新版。
關于怎么實現Confluence路徑穿越漏洞的分析及復現就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
