漏洞描述
Atlassian Confluence 存在模板注入代码执行漏洞,攻击者可构造恶意请求触发模板注入进而造成远程命令执行。
影响版本
停止更新的各个版本以及: 8.4.0 <= Confluence Data Center and Server <= 8.4.4 8.5.0 <= Confluence Data Center and Server <= 8.5.3 8.6.0 <= Confluence Data Center <= 8.6.1
漏洞分析
还是老样子,diff一下代码发现confluence的一些修改,有一个删除了的文件引起注意:
删除了:
ConfluenceStrutsUtil继承自VelocityStrutsUtil:
VelocityStrutsUtil又继承自StrutsUtil,看到这里推测velocity模板注入。
具体应该和前几次有几分相似,velocity解析导致的ognl表达式执行,于是可以去看vm文件。
再看vm文件的时候,犯了一个很大的错误,我在重置密码这里看了好久,但是始终是没有结果,它是从action里面读取的变量,所以应该不存在漏洞了,通过vm文件进行访问的时候并不能设置这个值。
又正值年终总结正好很忙,于是就暂且搁置。
后来发现GitHub上多了一个项目https://github.com/Sudistark/patch-diff-CVE-2023-22527,里面有所有vm的信息,于是就是直接搜一下:
于是我尝试一些其他接口,但是都是一无所获,这期间想让Z3教我,得到的回复是:
最后在text-inline.vm中会调用到findvalue方法从而造成表达式的执行:
试一下经典poc:
在StrutsUtil里面果然是找到了这个内容,太长了分开截:
后面就会按照模板定义的走到findvalue:
到这里就执行了:
然后通过getText方法取值,这里发现已经计算完毕了:
那么这也就通过velocity造成了Ognl表达式执行漏洞。
关于RCE
这块可是焦头烂额,尝试构造了几个都没成功执行命令(弹计算器),直到今天看到P牛的vulhub更新了,才想起用回显,这里放下vulhub链接,就不照抄了。
https://github.com/vulhub/vulhub/tree/master/confluence/CVE-2023-22527
