1.典型案例

本案例参考thedfirreport.com在2025年2月24日据发布的DFIR 报告LockBit 勒索软件利用CVE-2023-22527入侵 Confluence服务器最终导致勒索软件加密整个生产环境中的攻击手法

2.场景还原

2.1场景设置

攻击者利用CVE-2023-22527远程代码执行漏洞在服务器上执行命令，获取到服务器管理员权限。

2.2攻击路线图

2.3攻击复现

攻击者利用了CVE-2023-22527漏洞执行了命令，该站点的权限为nt authority\network service（为内置系统账户仅可以访问本地资源和网络资源）。

攻击者使用Metasploit 中的"atlassian_confluence_rce_cve_2023_22527"获取nt authority\network service权限shell接着利用RpcSs服务进行提权获得system权限。

上传AnyDesk启动进行远程控制

3.漏洞详情

3.1漏洞名称

Velocity模板注入导致的远程代码执行漏洞

3.2漏洞类型

远程代码执行

3.3漏洞描述

CVE-2023-22527是Atlassian Confluence Data Center和Server中存在的一个高危模板注入漏洞，允许未经身份验证的攻击者远程执行任意代码（RCE）。以下是其描述：

1. 漏洞类型与影响

受影响产品：Atlassian Confluence（企业级协作与文档管理平台）

影响版本：

8.0.x、8.1.x、8.2.x、8.3.x、8.4.x；8.5.0 ≤ version ≤ 8.5.3。

2. 漏洞分析

漏洞点：位于/template/aui/text-inline.vm文件，攻击者可通过直接访问该路径注入恶意Velocity模板代码。

触发机制：$stack.findValue("getText('$parameters.label')")未对用户输入的label参数过滤，导致攻击者通过构造恶意OGNL表达式注入Struts2上下文，执行系统命令。

模板引擎缺陷：Velocity与Struts2集成时，未正确处理用户提供的参数，允许通过#request对象访问底层Java对象（如freemarker.template.utility.Execute类）。

4.应急响应排查

4.1 Web日志

通过web日志可看到黑客利用了CVE-2023-22527漏洞的payload，攻击直接发送POST请求至/template/aui/text-inline.vm，通过参数（如label和x）传递恶意Payload通过模板注入的方式，解析器会误将攻击者提供的表达式当做模板代码执行，从而触发远程代码执行（RCE）。

4.2 AnyDesk配置文件

可在”C:\Users\启动的用户名\AppData\Roaming\AnyDesk“下找到配置文件，攻击者加载的配置文件也会放在此目录下。

5.防范措施

5.1升级系统版本

官方缓解措施为：没有已知的解决方法。要修复此漏洞，请将每个受影响的产品安装更新到最新版本。

升级版本：Atlassian未发布安全补丁官网解释为：关键安全错误修复将向后移植。我们将为策略涵盖的版本发布新的维护版本，而不是二进制补丁。二进制补丁不再发布。建议升级至8.5.4或更高版本。

详情看其官网：d94K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0L8$3&6X3L8s2g2W2L8X3y4W2i4K6u0W2j5i4c8D9j5i4y4K6K9h3q4F1i4K6u0W2j5$3!0E0i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3V1k6U0N6X3g2Q4x3X3b7J5x3o6t1K6i4K6u0V1x3U0t1#2x3U0N6Q4x3X3c8J5j5$3g2Q4x3X3c8J5k6h3#2G2N6r3g2Q4x3X3c8U0L8$3c8W2i4K6u0V1k6i4S2W2j5%4g2@1K9h3!0F1i4K6u0V1N6Y4g2D9L8X3g2J5j5h3u0A6L8r3W2@1P5g2)9J5k6r3W2F1i4K6u0V1j5$3!0F1k6X3I4#2k6h3&6U0k6g2)9J5k6r3c8S2N6r3q4Q4x3X3c8U0k6h3&6@1k6i4u0Q4x3X3c8S2L8X3c8Q4x3X3c8U0L8$3&6X3L8s2g2W2L8X3y4W2i4K6u0V1M7$3g2J5N6X3g2J5i4K6u0V1x3e0x3K6x3K6V1&6x3o6t1#2y4#2)9J5k6h3S2@1L8h3H3`.

5.3网络防护

通过部署Web应用防火墙（WAF）拦截恶意请求，隔离核心服务到内网环境，限制公网暴露面，并配置防火墙规则仅开放必要端口。

5.4安全测试

定期进行渗透测试和代码审计，使用静态分析工具扫描代码风险，对需要执行外部代码的场景使用沙箱或容器隔离，降低漏洞利用可能性。

5.5意识培训

加强开发与运维团队的安全意识培训，熟悉常见漏洞（如OWASP Top 10）和防护措施，提升整体安全防护能力。