漏洞汇总

https://www.yuque.com/docs/share/ad8192ca-39ec-4950-86e9-01dfa989bf6f?#（密码：gf34） 《HW2020 - 0day总结》

9月18日更新

22. Weblogic IIOP 反序列化漏洞

1.1 漏洞情况

Weblogic 使用 GIOP 协议进行序列化和反序列化，攻击者通过反序列化可以进行任意

代码执行，该协议可见于 7001 端口，建议进行排查。

1.2 修复方案

由于 IIOP 的实现存在较多漏洞，大多数都是 RCE 相关。如果发现开启了 IIOP，并且没

有更新 weblogic 最新补丁的话。可通过关闭 IIOP 协议对此漏洞进行缓解。操作如下：在

Weblogic 控制台中，选择“服务”->”AdminServer”->”协议”，取消“启用 IIOP”的勾

选。并重启 Weblogic 项目，使配置生效。

ps: 不确定说的是不是CVE-2020-2551

23.Yii框架多个反序列化RCE利用链

1）官方修复的漏洞（CVE-2020-15148）

根据官方更新的代码得知，问题出现在yii/db/BatchQueryResult.php当中，添加__wakeup方法，防止unserialize一个BatchQueryResult对象，该对象的__destruct方法存在一个可利用的RCE链。

这不是最近爆出来的了，很早就有（2019年9月份就有文章了），最近才修。具体文章如下：

https://xz.aliyun.com/t/8082#toc-8

2）UnicodeString对象的__wakeup方法造成的RCE利用链

除了BatchQueryResult这的类以外，UnicodeString对象的__wakeup方法也存在一个可用的RCE利用链。先知那篇文章中有写。

3）CVE-2020-15148补丁可能被绕过

修复的补丁是用__wakeup方法抛出异常，防止反序列化的，以前做CTF题的时候，记着有个方法可以绕过__wakeup方法的调用，当成员属性数目大于实际数目时可绕过.

O:23:"yiidbBatchQueryResult":1:{s:36:"yiidbBatchQueryResult_dataReader";O:17:"yiiwebDbSession":1:{s:13:"writeCallback";a:2:{i:0;O:20:"yiirestIndexAction":2:{s:11:"checkAccess";s:7:"phpinfo";s:2:"id";s:1:"1";}i:1;s:3:"run";}}}

O:23:"yiidbBatchQueryResult":1  :  也就是输入比1大的值就行.

24.深信服SSL VPN nday Pre auth任意密码重置

消息来源于补天，消息称：已有安全研究员公开了poc及分析文章，暂未找到。

有消息的兄弟们，可以回复公众号通知我哦。

25.深信服SSL VPN 修改绑定手机号

消息来源于补天，消息称：已有安全研究员公开了poc，暂未找到。

有消息的兄弟们，可以回复公众号通知我哦。

26.Spectrum Protect Plus任意代码执行漏洞（cve-2020-4711）

暂无