1.典型案例

本案例参考thedfirreport.com在2025年2月24日据发布的DFIR 报告LockBit 勒索软件利用CVE-2023-22527入侵 Confluence服务器最终导致勒索软件加密整个生产环境中的攻击手法

2.场景还原

2.1场景设置

攻击者利用CVE-2023-22527远程代码执行漏洞在服务器上执行命令，获取到服务器管理员权限。

2.2攻击路线图

2.3攻击复现

攻击者利用了CVE-2023-22527漏洞执行了命令，该站点的权限为nt authority\network service（为内置系统账户仅可以访问本地资源和网络资源）。

攻击者使用Metasploit 中的"atlassian_confluence_rce_cve_2023_22527"获取nt authority\network service权限shell接着利用RpcSs服务进行提权获得system权限。

上传AnyDesk启动进行远程控制

3.漏洞详情

3.1漏洞名称

Velocity模板注入导致的远程代码执行漏洞

3.2漏洞类型

远程代码执行

3.3漏洞描述

CVE-2023-22527是Atlassian Confluence Data Center和Server中存在的一个高危模板注入漏洞，允许未经身份验证的攻击者远程执行任意代码（RCE）。以下是其描述：

1. 漏洞类型与影响

受影响产品：Atlassian Confluence（企业级协作与文档管理平台）

影响版本：

8.0.x、8.1.x、8.2.x、8.3.x、8.4.x；8.5.0 ≤ version ≤ 8.5.3。

2. 漏洞分析

漏洞点：位于/template/aui/text-inline.vm文件，攻击者可通过直接访问该路径注入恶意Velocity模板代码。

触发机制：$stack.findValue("getText('$parameters.label')")未对用户输入的label参数过滤，导致攻击者通过构造恶意OGNL表达式注入Struts2上下文，执行系统命令。

模板引擎缺陷：Velocity与Struts2集成时，未正确处理用户提供的参数，允许通过#request对象访问底层Java对象（如freemarker.template.utility.Execute类）。

4.应急响应排查

4.1 Web日志

通过web日志可看到黑客利用了CVE-2023-22527漏洞的payload，攻击直接发送POST请求至/template/aui/text-inline.vm，通过参数（如label和x）传递恶意Payload通过模板注入的方式，解析器会误将攻击者提供的表达式当做模板代码执行，从而触发远程代码执行（RCE）。