CVE-2020-5752 Druva inSync 6.6.3 Relative path traversal | Windows客户端下未授权用户的相对路径遍历漏洞复现

最新推荐文章于 2023-04-10 07:45:00 发布
最新推荐文章于 2023-04-10 07:45:00 发布
阅读量988 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: windows 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shadow_DAI_990101/article/details/126788921
版权

CVE-2020-5752 Druva inSync 6.6.3 Relative path traversal | Windows客户端下未授权用户的相对路径遍历漏洞复现

文章目录

1. 概述

1.1 Druva inSync

Druva inSync™ 是一个 SaaS 平台,通过跨端点和云应用程序以安全合规的方式为用户提供大规模的数据保护、管理和信息治理等服务。更多信息click here

1.2 漏洞简述

Druva inSync Windows Client 6.6.3 中的相对路径遍历允许未经身份验证的本地攻击者以系统权限执行任意操作系统命令。

1.3 风险等级

评定方式等级
CVSS Score7.2
Confidentiality ImpactComplete
Integrity ImpactComplete
Availability ImpactComplete
实现难度
基础权限不需要
漏洞类型目录遍历&代码执行

在这里插入图片描述

1.4 影响范围

Druva inSync 6.6.3

1.5 漏洞分析

靶机运行版本为 Druva inSync 6.6.3, 最先由 Matteo Malvica发现并报告.
而这一漏洞又是由 Chris Lyne最初报告的版本 6.5.0 的另一个漏洞应用的错误补丁造成的

在 6.5.0 及之前的版本上报告的原始漏洞允许不受限制地运行任何命令。提供此类功能的最初想法是远程执行 inSync 提供的某些特定二进制文件,而不是任何命令。

该软件易受攻击,因为它在端口 6064 上运行具有 SYSTEM 权限的 RPC(远程过程调用)服务器,只能从 localhost 访问。RPC是一种机制,它允许给定进程通过网络公开函数,以便其他机器可以远程调用它们。

通过 TCP 端口 6064 处理 RPC 类型 5 请求时,inSyncCPHwnet64.exe 在将请求数据传递给 CreateProcessW() 函数之前无法正确验证请求数据。通过发送精心设计的 RPC 请求,攻击者可以将权限提升到 SYSTEM。
具体来说,此漏洞的存在是由于 CVE-2019-3999 的补丁不完整。实施了输入验证以确保只能执行 C:\ProgramData\Druva\inSync4\ 目录中存在的可执行文件,但可以通过使用 …\ 遍历目录树结构来绕过此逻辑。验证通过,因为可执行路径以 C:\ProgramData\Druva\inSync4\ 开头。

2. 环境配置

2.1 方案一: Tryhackme线上虚拟环境

在这里插入图片描述

2.2 方案二: 在VMware中配置的Windows主机中安装Druva inSync 6.6.3

2.3 访问测试

这里架设已经获得一个低权限用户

使用RDP工具连接靶机,这里使用的是xfreerdp

在这里插入图片描述

成功连接

在这里插入图片描述

3. 漏洞复现

为了实现一个有效的漏洞利用,我们需要了解如何与端口 6064 通信。要发送的数据包如下图所示:

在这里插入图片描述

第一个数据包只是一个包含固定字符串的 hello 数据包

第二个数据包表明我们要执行 5 号程序,因为这是一个易受攻击的程序,它将为我们执行任何命令。

最后两个数据包分别用于发送命令的长度和要执行的命令字符串。

最初由 Matteo Malvica 在这里发布,可以在您的目标计算机中使用以下漏洞利用来提升权限并检索此任务的标志。为方便起见,这里是原始漏洞的代码参考payload

3.1 准备工作

  1. 信息收集

    安装在目标系统上的软件可以提供各种权限提升机会。与驱动程序一样,组织和用户可能不会像更新操作系统那样频繁地更新它们。可以使用 wmic 工具列出目标系统上安装的软件及其版本。下面的命令将转储它可以在已安装软件上收集的信息:

    wmic product get name,version,vendor

    但有时候wmic product 命令可能不会返回所有已安装的程序。根据某些程序的安装方式,它们可能不会在此处列出。检查桌面快捷方式、可用服务或通常任何表明存在可能易受攻击的其他软件的痕迹总是可行的。

  2. 准备Payload

    在上一步我们获得了相关的版本信息,现在可以去检索相关漏洞和利用代码了,比如去如下网站:exploit-db, packet storm or Google

    参见payload

    : 在 $cmd 变量中指定的漏洞利用的默认负载将在系统中创建一个名为 pwnd 的用户,但不会为他分配管理权限,因为我们希望更改负载以获得更有用的东西,所以在现在的环境下我们需要对原Payload中的$cmd做如下的修改:

    net user pwnd SimplePass123 /add & net localgroup administrators pwnd /add

3.2 漏洞利用

  1. 打开靶机Powershell的IDE,运行准备好的Payload

    在这里插入图片描述

    运行后将创建密码为 SimplePass123 的用户 pwnd 并将其添加到管理员组。

  2. 运行以下命令来验证用户 pwnd 是否存在并且是管理员组的一部分:

    net user pwnd

    在这里插入图片描述

  3. 以管理员运行cmd,点击more choice选着用户pwnd

    在这里插入图片描述

    在这里插入图片描述

  4. 成功

    在这里插入图片描述

4. 修复建议

更新到Druva inSync client version 6.6.4 或更高.

5. 总结

这是关于Windows提权中关于Abusing vulnerable software方面的简单案列

6. 参考连接

https://packetstormsecurity.com/files/157802/Druva-inSync-Windows-Client-6.6.3-Local-Privilege-Escalation.html

https://www.tenable.com/security/research/tra-2020-34

https://tryhackme.com/room/windowsprivesc20

ImShadowven
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【最新版】Insync-3.1.4.40797.dmg【亲测可用】最好的从桌面管理您的Google Drive和OneDrive文件
04-24
直接从桌面管理您的Google Drive和OneDrive文件。 使用Insync,您在可以同步,编辑,备份和共享文件,而无需打开一百万个浏览器选项卡。
Relative Path Traversal
不会写博客
04-28 1128
使用 StopBugs扫描了下代码发提示“Relative path traversal”这个安全性的 bug ok,打开右下方提示的地址:http://cwe.mitre.org/data/definitions/23.html 看到这里大概就明白了代码这是通过传递相对路径的文件,达到可以查看遍路径的文件内容,通过这种可以查看到一些配置文件的漏洞。Example 3 还是演示一个 Java Servlet的案例 那么解决方案也很容易处理,直接过滤传参 我这里其实是拼接文件路径的,也基本上确定是.
相对路径Relative Path Traversal
技术随笔
07-24 7679
http://cwe.mitre.org/data/definitions/23.html 这个里面关于这个问题描述的很清楚。 为了防止利用诸如下列网址的攻击 http://example.com.br/get-files?file=report.pdf http://example.com.br/get-files?file=../../../../etc/passwd ...
jenkins relative path路径
wangjun5159的专栏
01-29 3191
在配置将war包发布到tomcat中时,经常不知道怎么写relative path,这里写一下自己的总结。 1、找到war的路径 构建war包后的路径,可以通过查看 Console output得到 2、摸索规律 通过观察我们看到,jenkins构建包后的路径都在 前缀路径/workspace/job名字/xxx/target/xx.war路径下, 前缀路径根据操
目录穿越/遍漏洞 -- 学习笔记
热门推荐
angry_program的博客
08-07 2万+
目录 什么是目录遍漏洞原理 实验 0x00 基础目录遍 0x01 绝对路径 0x02 双写../绕过 0x03 URL编码绕过 0x04 绝对路径配合../ 0x05 截断文件后缀 防御 什么是目录遍? 目录遍(目录穿越)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。 这可能包括应用程序代码和数据,后系统的登录信息以及敏感的操作系统文件。 在某些情况下,攻击者可能能够在服务器上写入任意文件,(如,FFFTP是一款小型...
CVE-2020-29134:利用CVE-2020-29134-TOTVS Fluig平台-路径
03-10
and your company's other systems to revolutionize the way you and your team work.CVE-2020-29134 The TOTVS Fluig platform allows path traversal via parameter encoded in base64. When exploited, this ...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
通过升级openssh到OpenSSH8.4 修openssh低版本的漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 ... web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?>...
(七)目录遍漏洞
weixin_43047908的博客
04-13 1692
什么是目录遍? 目录遍(也称为文件路径)是一个Web安全漏洞,它使攻击者可以读取运行应用程序的服务器上的任意文件。这可能包括应用程序代码和数据,后系统的凭据以及敏感的操作系统文件。在某些情况下,攻击者可能能够写入服务器上的任意文件,从而允许他们修改应用程序数据或行为,并最终完全控制服务器。 通过目录遍读取任意文件 考虑一个显示要出售商品图像的购物应用程序。图像通过一些HTML加载,如下所示: <img src="/loadImage?filename=218.png"> 该load
Shiro 认证绕过漏洞 CVE-2020-1957 漏洞
huangyongkang666的博客
04-14 2937
Shiro 认证绕过漏洞 CVE-2020-1957 漏洞 1.漏洞描述 ​ Apache Shiro 是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 CVE-2020-1957,Spring Boot中使用 Apache Shiro 进行身份验证、权限控制时,可以精心构造恶意的URL,利用 Apache Shiro 和 Spring Boot 对URL的处理的差异化,可以绕过 Apache Shiro 对 Spring Boot 中的 S
常见漏洞所对应功能点记录
m0_46127592的博客
04-23 3658
常见漏洞对应的功能点 一、SQL注入 sql注入是由于数据库执行了人为插入的恶意sql语句,因此存在于和数据库交互的地方,在实际的业务中,和数据库交互的地方一般有一下几个: 1、登录框、注册框 2、搜索框 3、内容浏览 4、内容编辑 5、新增主题、添加用户 标题二、任意文件下载、读取 任意文件下载是由于下载的参数中存在路径,攻击者通过修改参数中的路径达到任意文件下载的目的,一般存在与以下几个地方: 1、下载文件 2、导出excle 三、任意文件上传 任意文件上传是由于在文件上传时对文件类型没有进行一定的限制
最新系统漏洞--D-Link DAP-2020路径漏洞
weixin_48555088的博客
03-19 299
最新系统漏洞2022年3月15日 受影响系统: D-Link DAP-2020 1.01rc001 描述: CVE(CAN) ID: CVE-2021-3486 D-Link DAP-2020是中国台湾友讯(D-Link)公司的一款WiFi范围扩展器。 D-Link DAP-2020 1.01rc001版本在处理getpage参数时存在路径漏洞。该漏洞源于程序在文件操作中使用用户提供的路径之前对其进行正确验证。攻击者可利用该漏洞在root上下文中泄露信息。 <*来源:chung96vn ft p
【burpsuite安全练兵场-服务3】目录遍漏洞-6个实验(全)
12-30 4168
【BP靶场portswigger-服务3-目录遍】6个实验-千文详解步骤
网站【漏洞】挖掘思路
分享Python知识
04-10 503
网站漏洞挖掘思路
Weblogic-CVE-2020-2555(VirtualBox虚拟机搭建)
weixin_43061533的博客
11-17 961
weblogic-cve_2020_2555 安装环境 靶机:一台Windows 2008 R2 服务器 攻击机:Win 10 配置环境 Jdk1.8.0_221 Weblogic 12.2.1.4.0 下载地址https://www.oracle.com/middleware/technologies/weblogic-server-downloads.html 链接:https://pan.baidu.com/s/12Tt4Y7sXoht0RJD03f25bQ 提取码:1234 1.安装 【代码1
容器逃逸漏洞 Docker containerd-shim(CVE-2020-15257)与分析
SHELLCODE_8BIT的博客
04-08 3096
1.环境搭建 使用metarget搭建 git clone https://github.com/brant-ruan/metarget.git cd metarget/ pip3 install -r requirements.txt 2.安装靶场 ./metarget cnv install cve-2019-5736
网站漏洞挖掘思路
dzqxwzoe的博客
03-11 915
我们在用户名中输入 ‘or 1=1#,密码随意。就变成了select name.passwd from users where username= ‘’ or 1=1#’ and password=???。在SQL语法中 # 是注释符,所以后面的语句都会杯注释掉,那么上面的语句就等价于select name.passwd from users where username=’’ or 1=1。在or 连接中, username=’’ 和 1=1 中有一个为真就为真。所以1=1肯定为真。
Tomact_CVE-2020-1938漏洞
最新发布
08-31
Tomact_CVE-2020-1938漏洞,可以按照以下步骤进行操作: 1. 下载POC:可以使用以下命令下载POC文件: git clone https://github.com/sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read/ 2. 在攻击机上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值