FireEye 红队失窃工具大揭秘之：分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)

• Atlassian Confluence Server
• confluence Data Center

• 2.0.0 <= version < 6.6.13

• 6.7.0 <= version < 6.12.4

• 6.13.0 <= version < 6.13.4

• 6.14.0 <= version < 6.14.3

• 6.15.0 <= version < 6.15.2

• 6.6.13

• 6.12.4

• 6.13.4

• 6.14.3

• 6.15.2

• Centos7

• Jdk-1.8.0_272

• Mysql 5.7

• Confluence 6.15.1

搭建好环境后，创建一篇博客，title 和 content 随意任选。

该漏洞关键点有两个：上传一个文件名带有 “../” 的附件和下载该附件所在博客页面的全部附件。上传触发点位于对现有博客进行编辑时的页面上：

可添加附件，插入文件或图片。

上传附件时更改文件名。

Insert 之后进行 update 保存。该上传功能处理代码位于Confluence安装目录下confluence/WEB-INF/atlassian-bundled-plugins/confluence-drag-and-drop-6.15.1.jar/com.atlassian,confluence.plugins/dragdrop/UploadAcrion.class文件中。

由于该段代码中未对 filename 做安全检查，因而 “../” 字段可以成功插入filename中。

在该博客页面点击附件可以查看附件列表。

全部下载功能需要该博客页面有至少两个附件，上传成功后博客附件文件名会带有“../”。

点击 Downdload All，可以看到文件名为 download、随机字符和时间拼接成的zip文件，即 downloadG6tgT025851.zip，响应的 location 位置在download/tmp/ 下，直接在根目录下搜索该文件，可以找到存储地址。

该zip文件的上两级目录中存在 test.txt 文件。该 download all 的处理功能代码位于 confluence 安装目录下的 confluence/WEB-INF/lib/confluence-6.15.1.jar/com/atlassian/confluence/pages/DownloadLAllAttachmentsOnPageAction.class文件中。

getTempDirectoryForZipping() 和getZipFilename()两个函数会根据时间和随机数生成附件文件缓存的目录，目录会存放在 confluence.home/temp/下，confluence.home对应如下：

可知前面下载全部附件时zip的文件名结构和存放位置。copy时，缓存流中的附件 ../../test.txt 就存放在/confluencehome/temp/downloadG6tgT025851/ 下。

将此目录打包后，由于目录遍历序列（‘../’）的作用，/confluencehome/test.txt文件也就保留了下来。因此也就造成了目录穿越漏洞。

更新至最新版。

• https://www.securityfocus.com/bid/108067/info
• https://packetstormsecurity.com/files/155235/Atlassian-Confluence-6.15.1-Directory-Traversal.html

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。