Confluence CVE-2023-22515漏洞复现

前言

在Zoomeye瞎几把搜后台，看看能不能碰到几个弱口令 ，扔到CNVD提交

过程

打开IP一看，我草 棋牌登录

随便输入什么admin admin之类的，发现密码 不对

输入admin‘，发现没有回显错误

输入个万能密码发现又返回了错误

burp抓包扔sqlmap跑了一波，然后发现存在注入，盲注，mssql

确认是windows server 2008的系统

查询一下是不是dba权限，发现是

那么当前用户肯定是sa用户了

查询一下密码，发现回显出的更本不是密码…而是数据库的用户

查询当前数据库，然后跑出了管理员密码

然后md5解不出，脱airen去CMD5掏了出明文

登进后台看了一下，坑人玩意啊

然后找了一下后台功能，发现没的上传shell的地方

寻思了一下，决定用后台密码猜一下是不是sa用户的密码，Boom!

还真的连上了，我日，执行一波exec master.dbo.xp_cmdshell,发现sa用户被降权了

查询了一波进程，发现并没有杀软

用户只有最初始的两个

管理员组没改名

cs生成ps，用exec master.dbo.xp_cmdshell来执行获取会话

查询了一波补丁

后面由于cs上传exp上传不成功，派会话到本机的msf，ngrok启动

cs的监听设置为ngrok的IP和端口

成功接收到会话

使用模块查询了一波能提权利用的操作

试了几个exp模块没成功，然后看到上次提权用的MS16-075，反手就试了一遍，然后提下来了

添加用户一系列操作

激活Guest用户用于做RID劫持

最后成功获取到管理员所有数据，控制整台服务器

留下个后门走人

---

转载请注明来源，欢迎对文章中的引用来源进行考证，欢迎指出任何有错误或不够清晰的表达。