HW2020 – 漏洞跟踪3

  • A+
所属分类:安全文章

漏洞汇总

https://www.yuque.com/docs/share/ad8192ca-39ec-4950-86e9-01dfa989bf6f?#(密码:gf34) 《HW2020 - 0day总结》


9月18日更新

22. Weblogic IIOP 反序列化漏洞

1.1 漏洞情况

Weblogic 使用 GIOP 协议进行序列化和反序列化,攻击者通过反序列化可以进行任意

代码执行,该协议可见于 7001 端口,建议进行排查。

1.2 修复方案

由于 IIOP 的实现存在较多漏洞,大多数都是 RCE 相关。如果发现开启了 IIOP,并且没

有更新 weblogic 最新补丁的话。可通过关闭 IIOP 协议对此漏洞进行缓解。操作如下:在

Weblogic 控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用 IIOP”的勾

选。并重启 Weblogic 项目,使配置生效。


ps: 不确定说的是不是CVE-2020-2551

23.Yii框架多个反序列化RCE利用链

1)官方修复的漏洞(CVE-2020-15148)

HW2020 - 漏洞跟踪3

根据官方更新的代码得知,问题出现在yii/db/BatchQueryResult.php当中,添加__wakeup方法,防止unserialize一个BatchQueryResult对象,该对象的__destruct方法存在一个可利用的RCE链。

这不是最近爆出来的了,很早就有(2019年9月份就有文章了),最近才修。具体文章如下:

https://xz.aliyun.com/t/8082#toc-8

2)UnicodeString对象的__wakeup方法造成的RCE利用链

除了BatchQueryResult这的类以外,UnicodeString对象的__wakeup方法也存在一个可用的RCE利用链。先知那篇文章中有写。

3)CVE-2020-15148补丁可能被绕过

修复的补丁是用__wakeup方法抛出异常,防止反序列化的,以前做CTF题的时候,记着有个方法可以绕过__wakeup方法的调用,当成员属性数目大于实际数目时可绕过.

O:23:"yiidbBatchQueryResult":1:{s:36:"yiidbBatchQueryResult_dataReader";O:17:"yiiwebDbSession":1:{s:13:"writeCallback";a:2:{i:0;O:20:"yiirestIndexAction":2:{s:11:"checkAccess";s:7:"phpinfo";s:2:"id";s:1:"1";}i:1;s:3:"run";}}}

O:23:"yiidbBatchQueryResult":1  :  也就是输入比1大的值就行.


24.深信服SSL VPN nday Pre auth任意密码重置

消息来源于补天,消息称:已有安全研究员公开了poc及分析文章,暂未找到。

有消息的兄弟们,可以回复公众号通知我哦。


25.深信服SSL VPN 修改绑定手机号

消息来源于补天,消息称:已有安全研究员公开了poc,暂未找到。

有消息的兄弟们,可以回复公众号通知我哦。


26.Spectrum Protect Plus任意代码执行漏洞(cve-2020-4711)

暂无




发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: