這篇文章給大家介紹怎么實(shí)現(xiàn)Confluence路徑穿越漏洞的分析及復(fù)現(xiàn),內(nèi)容非常詳細(xì),感興趣的小伙伴們可以參考借鑒,希望對(duì)大家能有所幫助。
創(chuàng)新互聯(lián)主要從事成都網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)若羌,10余年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):18980820575
最近,全球領(lǐng)先的網(wǎng)絡(luò)安全公司 FireEye 疑遭某 APT 組織的攻擊,其大量政府客戶的信息遭越權(quán)訪問(wèn),且紅隊(duì)工具被盜。雖然目前尚不清楚這些紅隊(duì)工具將被如何處置,但FireEye 公司在 GitHub 上發(fā)布了一些應(yīng)對(duì)措施。奇安信代碼安全實(shí)驗(yàn)室將從技術(shù)角度,對(duì) GitHub 倉(cāng)庫(kù)中的相關(guān)漏洞進(jìn)行分析復(fù)現(xiàn),希望能給讀者帶來(lái)一些啟發(fā),做好防御措施。
Atlassian Confluence Server是澳大利亞Atlassian公司的一套協(xié)同軟件服務(wù)器版本,具有企業(yè)知識(shí)管理功能,并支持用于構(gòu)建企業(yè)WiKi。Atlassian Confluence Data Center 是 Atlassian Confluence 的數(shù)據(jù)中心版本。
Atlassian Confluence Server 和Confluence Data Center 在downloadallattachments 資源中存在路徑穿越漏洞。當(dāng)遠(yuǎn)程用戶能夠向博客頁(yè)面添加附件,或創(chuàng)建空間,或?qū)δ硞€(gè)空間具有管理員權(quán)限,就可能使用包含目錄遍歷序列(‘../’)的文件名造成路徑穿越問(wèn)題,且在一定條件下可以執(zhí)行任意代碼。
Atlassian Confluence Server
confluence Data Center
2.0.0 <= version < 6.6.13
6.7.0 <= version < 6.12.4
6.13.0 <= version < 6.13.4
6.14.0 <= version < 6.14.3
6.15.0 <= version < 6.15.2
6.6.13
6.12.4
6.13.4
6.14.3
6.15.2
Centos7
Jdk-1.8.0_272
MySQL 5.7
Confluence 6.15.1
搭建好環(huán)境后,創(chuàng)建一篇博客,title 和 content 隨意任選。
該漏洞關(guān)鍵點(diǎn)有兩個(gè):上傳一個(gè)文件名帶有 “../” 的附件和下載該附件所在博客頁(yè)面的全部附件。上傳觸發(fā)點(diǎn)位于對(duì)現(xiàn)有博客進(jìn)行編輯時(shí)的頁(yè)面上:
可添加附件,插入文件或圖片。
上傳附件時(shí)更改文件名。
Insert 之后進(jìn)行 update 保存。該上傳功能處理代碼位于Confluence安裝目錄下confluence/WEB-INF/atlassian-bundled-plugins/confluence-drag-and-drop-6.15.1.jar/com.atlassian,confluence.plugins/dragdrop/UploadAcrion.class文件中。
由于該段代碼中未對(duì) filename 做安全檢查,因而 “../” 字段可以成功插入filename中。
在該博客頁(yè)面點(diǎn)擊附件可以查看附件列表。
全部下載功能需要該博客頁(yè)面有至少兩個(gè)附件,上傳成功后博客附件文件名會(huì)帶有“../”。
點(diǎn)擊 Downdload All,可以看到文件名為 download、隨機(jī)字符和時(shí)間拼接成的zip文件,即 downloadG6tgT025851.zip,響應(yīng)的 location 位置在download/tmp/ 下,直接在根目錄下搜索該文件,可以找到存儲(chǔ)地址。
該zip文件的上兩級(jí)目錄中存在 test.txt 文件。該 download all 的處理功能代碼位于 confluence 安裝目錄下的 confluence/WEB-INF/lib/confluence-6.15.1.jar/com/atlassian/confluence/pages/DownloadLAllAttachmentsOnPageAction.class文件中。
整個(gè)復(fù)制過(guò)程并沒(méi)有對(duì)文件名和文件內(nèi)容做安全檢查。
getTempDirectoryForZipping() 和getZipFilename()兩個(gè)函數(shù)會(huì)根據(jù)時(shí)間和隨機(jī)數(shù)生成附件文件緩存的目錄,目錄會(huì)存放在 confluence.home/temp/下,confluence.home對(duì)應(yīng)如下:
可知前面下載全部附件時(shí)zip的文件名結(jié)構(gòu)和存放位置。copy時(shí),緩存流中的附件 ../../test.txt 就存放在/confluencehome/temp/downloadG6tgT025851/ 下。
將此目錄打包后,由于目錄遍歷序列(‘../’)的作用,/confluencehome/test.txt文件也就保留了下來(lái)。因此也就造成了目錄穿越漏洞。
更新至最新版。
關(guān)于怎么實(shí)現(xiàn)Confluence路徑穿越漏洞的分析及復(fù)現(xiàn)就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò),可以把它分享出去讓更多的人看到。
網(wǎng)站欄目:怎么實(shí)現(xiàn)Confluence路徑穿越漏洞的分析及復(fù)現(xiàn)
文章源于:http://chinadenli.net/article32/gojdsc.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供、營(yíng)銷型網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站、定制網(wǎng)站、ChatGPT、網(wǎng)站收錄
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)