這篇文章給大家介紹怎么實現(xiàn)Confluence路徑穿越漏洞的分析及復(fù)現(xiàn)，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

創(chuàng)新互聯(lián)主要從事成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)若羌,10余年網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575

前言

最近，全球領(lǐng)先的網(wǎng)絡(luò)安全公司 FireEye 疑遭某 APT 組織的攻擊，其大量政府客戶的信息遭越權(quán)訪問，且紅隊工具被盜。雖然目前尚不清楚這些紅隊工具將被如何處置，但FireEye 公司在 GitHub 上發(fā)布了一些應(yīng)對措施。奇安信代碼安全實驗室將從技術(shù)角度，對 GitHub 倉庫中的相關(guān)漏洞進(jìn)行分析復(fù)現(xiàn)，希望能給讀者帶來一些啟發(fā)，做好防御措施。

漏洞簡介

Atlassian Confluence Server是澳大利亞Atlassian公司的一套協(xié)同軟件服務(wù)器版本，具有企業(yè)知識管理功能，并支持用于構(gòu)建企業(yè)WiKi。Atlassian Confluence Data Center 是 Atlassian Confluence 的數(shù)據(jù)中心版本。

Atlassian Confluence Server 和Confluence Data Center 在downloadallattachments 資源中存在路徑穿越漏洞。當(dāng)遠(yuǎn)程用戶能夠向博客頁面添加附件，或創(chuàng)建空間，或?qū)δ硞€空間具有管理員權(quán)限，就可能使用包含目錄遍歷序列（‘../’）的文件名造成路徑穿越問題，且在一定條件下可以執(zhí)行任意代碼。

受影響產(chǎn)品

Atlassian Confluence Server

confluence Data Center

受影響版本

2.0.0 <= version < 6.6.13

6.7.0 <= version < 6.12.4

6.13.0 <= version < 6.13.4

6.14.0 <= version < 6.14.3

6.15.0 <= version < 6.15.2

修復(fù)版本

6.6.13

6.12.4

6.13.4

6.14.3

6.15.2

漏洞驗證環(huán)境

Centos7

Jdk-1.8.0_272

MySQL 5.7

Confluence 6.15.1

漏洞驗證和分析

搭建好環(huán)境后，創(chuàng)建一篇博客，title 和 content 隨意任選。

該漏洞關(guān)鍵點有兩個：上傳一個文件名帶有 “../” 的附件和下載該附件所在博客頁面的全部附件。上傳觸發(fā)點位于對現(xiàn)有博客進(jìn)行編輯時的頁面上：

可添加附件，插入文件或圖片。

上傳附件時更改文件名。

Insert 之后進(jìn)行 update 保存。該上傳功能處理代碼位于Confluence安裝目錄下confluence/WEB-INF/atlassian-bundled-plugins/confluence-drag-and-drop-6.15.1.jar/com.atlassian,confluence.plugins/dragdrop/UploadAcrion.class文件中。

由于該段代碼中未對 filename 做安全檢查，因而 “../” 字段可以成功插入filename中。

在該博客頁面點擊附件可以查看附件列表。

全部下載功能需要該博客頁面有至少兩個附件，上傳成功后博客附件文件名會帶有“../”。

點擊 Downdload All，可以看到文件名為 download、隨機字符和時間拼接成的zip文件，即 downloadG6tgT025851.zip，響應(yīng)的 location 位置在download/tmp/ 下，直接在根目錄下搜索該文件，可以找到存儲地址。

該zip文件的上兩級目錄中存在 test.txt 文件。該 download all 的處理功能代碼位于 confluence 安裝目錄下的 confluence/WEB-INF/lib/confluence-6.15.1.jar/com/atlassian/confluence/pages/DownloadLAllAttachmentsOnPageAction.class文件中。

整個復(fù)制過程并沒有對文件名和文件內(nèi)容做安全檢查。

getTempDirectoryForZipping() 和getZipFilename()兩個函數(shù)會根據(jù)時間和隨機數(shù)生成附件文件緩存的目錄，目錄會存放在 confluence.home/temp/下，confluence.home對應(yīng)如下：

可知前面下載全部附件時zip的文件名結(jié)構(gòu)和存放位置。copy時，緩存流中的附件 ../../test.txt 就存放在/confluencehome/temp/downloadG6tgT025851/ 下。

將此目錄打包后，由于目錄遍歷序列（‘../’）的作用，/confluencehome/test.txt文件也就保留了下來。因此也就造成了目錄穿越漏洞。

補丁

更新至最新版。

關(guān)于怎么實現(xiàn)Confluence路徑穿越漏洞的分析及復(fù)現(xiàn)就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。