漏洞描述
在Confluence中存在权限验证漏洞,攻击者可以通过发送而已请求来获取服务器权限,造成远程命令执行。
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!注意,测试该漏洞会导致数据不可逆损失,如需测试漏洞请一定要使用测试环境!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
漏洞分析
和上次一样,老样子diff一下:
修改很多,不过最引人注目的还是很多class文件都新增了两个注解,看起来就是对权限做了处理:
那么就来了解下什么是websudo:
WebSudo 是 Atlassian Confluence中的一项安全特性。它的目的是确保用户在执行一些敏感操作之前重新验证自己的凭据,以提高系统的安全性。
当一个已登录的用户试图进行一些可能对系统有重大影响的操作,例如更改系统设置、安装插件等,Confluence 会要求该用户重新输入密码来确认他们的身份。这种再次确认身份的机制称为 WebSudo。
因为和sudo很像,所以就叫了websudo。看来关键点就在权限上了,再根据长亭的通告,因为confluence滥用了struts的继承关系,所以导致了部分权限绕过,并且漏洞利用会导致数据丢失。
在diff代码的时候看到了如下内容,最开始的思路是直接通过bootstrap来把confluence的数据库切换到自己的数据库上(当然当时我并不了解confluence的bootstrap是干嘛的),走了弯路,后来想了想这样的话也不会丢失数据无法恢复,应该是一种覆盖的操作才对:
既然说到了权限问题,这里可以简单了解下:
https://struts.apache.org/core-developers/namespace-configuration
实际上confluence不光是会去defualt来进行检查,而是会去被继承的namespace逐层递归到default,所以寻找继承了admin的namespace最后发现struts.xml中有这么一段:
说明json的命名空间可以进行递归到admin,也就是通告中说的滥用继承关系导致部分权限绕过。
那么接下来就明了了,只需要寻找能够破坏数据的功能就可以了,实在是不想看官方文档,让我们感谢人工智能:
很好,接下来就可以去confluence里面看备份相关的东西了:
经过了几次创建和还原可以确定这里确实能够还原admin的密码(毕竟是备份)。
直接创建一个备份并且下载下来,然后去搜索restore相关的action,最终在不断地尝试下定位到了一个action:
尝试用json命名空间去访问这个action,得到了一些有趣的东西(注意这里要用POST进行访问):
看到下面是我创建的很多备份文件,但是这里其实是有坑的,在直接构造一个文件上传包的时候,对面返回的相应是这样的:
很奇怪,我明明创建的是site的包,为什么说我尝试恢复space,又创建了几个无果后,觉得还是要去看看代码,直接搜索提示语:
然后进入SetupRestoreAction.class下个断点,可以看到导致这个问题的原因是validate()方法检验了一下exportScope是否是ALL,但是我们创建的是SITE好家伙,这哪有ALL的包啊:
(其实在这里直接改成ALL应该接可以了)
但是我想找到根本原因,问题只能是出在备份的时候了,发现在confluence的备份中其实只有两个选项:
这个时候就要用另一个接口了:
在登陆状态下访问json/backup.action然后生成的被分包所带的是ALL标签,再次构造包:
可以看到跳转地址和struts.xml写的一样,这里要注意synchronous=true的设置,发送完包后等待一小会儿,就会将备份导入,当然原先设置好的管理员账号密码也会被备份中的内容覆盖。
RCE
参考历史漏洞即可RCE,老生常谈,不过多说啦。