01前言
本来这期是准备讲一讲最近挖到的某大厂的两个通用案例的,只不过不知道为啥这两个漏洞在cnvd上审核的特别慢,到了本人码字的现在才刚通过一审。而上周刚好挖出个高危事件型漏洞,证书也于这周发放下来,于是就打算讲讲cnvd事件型。(本文章仅供渗透测试学习使用,相关数据已做脱敏,禁止利用文章所讲内容去进行违法操作)
02案例分享
虽然是高危事件型漏洞,不过存在该漏洞的资产目前已经无法在外网访问了,所以我还是打算尽可能说细一点。
在案例分享开头,先讲一讲挖到这个漏洞之前的故事。一开始我本没打算专门去挖事件型漏洞的,只不过在资产收集的过程中发现某个教育局使用的oa系统的登录界面存在sql注入漏洞。于是,想着顺手的事情,便交到了cnvd。谁知因为该系统没有备案和域名,只有在页面写了某某教育局主办,便被cnvd以归属存疑打了下来。
被打下来后我就心里不服,心想着我怎么说也要挖到个事件型漏洞出来证明一下。于是便开始了事件型漏洞的挖掘。首先,我在网上搜索了一下cnvd事件型的案例,结果发现寥寥无几。想必也是自然,毕竟cnvd的事件型漏洞涉及到的都是国家性质的单位,随便被公开出来容易造成不好的影响。不过还是让我找到一篇非常高质量的案例,这里也分享出来给大家。
记录一次cnvd事件型证书漏洞挖掘 - 蚁景网安实验室 - 博客园 (cnblogs.com)
根据这位师傅在案例中所讲,他是把目标定在了中国铁塔上,然后通过资产搜索引擎收集资产,最后发现一个若依框架的资产,挖到了该资产中的rce漏洞然后拿了证书。
这也给我的思路提供了帮助,所以和他一样我也把目标定在了中国铁塔,然后通过资产搜索引擎发现了一个资产。
该资产是有域名和icp备案的,也免去了我们去做归属认证的烦恼。同时,通过资产搜索引擎我了解到资产其实是某厂商的网络监控设备。于是我立即去网上搜索该设备有没有已公开的漏洞,结果发现了一个未授权访问和一个远程命令执行漏洞。而且最骚的是这两个漏洞是可以联合利用的。
因为这个未授权访问是泄露了网络监控设备的账号密码,而攻击者利用泄露的账号密码就可以去利用rce获得服务器权限。泄露页面如下:
得到账户密码我成功登录了设备后台,然后开始利用rce漏洞。其实这个设备的rce漏洞利用起来都很简单,网络公开的一共有4个。我成功验证出了两个。
其中第一个就是他们开发商自己写的一个run.php页面,在该页面输入任意命令都可以执行。
另外一处是利用license.php的接口存在变量覆盖,可以通过执行特定的payload将想执行的命令覆盖到原本的变量同时生成一个带有该命令的文件。如果想深入利用的话,可以用该漏洞写一个反弹shell来做权限持久化,这里因为我没有公网vps而且漏洞挖掘的话还是慎做提权维权这些敏感操作。于是,还是写了个whoami证明命令可以执行就收工了。
03思路分享
其实事件型漏洞的挖掘的思路我觉得可以分享的不多,挖不挖得到全看手法和运气,如果目标资产waf,防火墙等安全设备全都拉满,然后还有严格的权限验证,加密等防护手段,这种情况下干啥都是白给。不过还是有一条思路可以说一下,就是多关注目标资产的组件,看看有没有可以直接利用的通用漏洞。这个思路是所有事件型漏洞挖掘的基础思路,所以还是说一下。
04相关知识总结
1.cnvd对于具备证书资格的事件型漏洞的定义:事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书。
2.归属认证:归属认证是事件型漏洞挖掘的重要一环,即确认该资产是属于某个组织的。归属认证可以通过域名归属查询,icp备案查询等手段来进行。
3.事件型漏洞挖掘时的注意事项:严禁对目标资产的任何服务造成影响,包括不限于拒绝服务,数据篡改,获得服务器或主机权限后的提权,打入内网后的横向渗透等操作。整个挖掘过程要做到无害化,点到为止即可。
原文始发于微信公众号(UT Four安全团队):记一次CNVD挖掘系列-3
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论