|
来源:horizon3.ai,作者:James Horseman
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
介绍
https://www.zerodayinitiative.com/advisories/ZDI-24-507/
在本文中,我们将详细介绍此漏洞的内部工作原理。
RecordGoodApp
幸运的是,ZDI 公告告诉我们在哪里可以找到 SQL 注入,一个名为 RecordGoodApp 的函数。安装后,我们在 C:Program FilesLANDesk 中找到了大多数应用程序二进制文件。搜索 RecordGoodApp 后,我们发现它存在于名为 PatchBiz.dll 的文件中。
我们可以使用 JetBrains dotPeek 工具反汇编 PatchBiz.dll C# 二进制文件。从那里我们可以搜索 RecordGoodApp 方法。
我们可以很容易地看到,函数中的第一个 SQL 语句可能容易受到 SQL 注入的攻击,它们使用 string.Format 将 goodApp.md5 的值插入到 SQL 查询中。
找到易受攻击函数的路径
接下来,我们想看看是否有任何明显的 RecordGoodApp 函数路径可用于触发漏洞。幸运的是,我们可以再次使用 dotPeek 搜索对 RecordGoodApp 的任何引用。
EventHandler继承自System.Web.Services.WebService。这强烈表明我们应该能够通过 HTTP 命中 UpdateStatusEvents。
触发易受攻击的函数
首先,使用 IIS 管理器,我们注意到 EventHandler.cs 托管在 /WSStatusEvents 端点上。
使用 dyspy,我们附加到托管易受攻击的端点的 IIS 进程并开始发送请求。经过一点逆向分析后,我们想出了一个相当简单的请求,使用 xp_cmdshell 来获得 RCE。
攻击指标
POC/EXP下载
回复关键字【240608】获取下载链接
知 识 星 球
推 荐 阅 读
原文始发于微信公众号(潇湘信安):CVE-2024-29824 深入探究:Ivanti EPM SQL 注入远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论