The Story of 3 bugs that lead to Unauthorized RCE - Pascom Systems

已于 2022-10-21 00:02:52 修改
阅读量466 收藏
点赞数
分类专栏: cybersecurity 文章标签: c++ spring java github visualstudio
于 2022-10-21 00:02:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65876116/article/details/127437594
版权
本文详细介绍了如何通过三个漏洞(路径遍历、Openfire(XMPP服务器)jar导致的SSRF、计划任务中的命令注入)在Pascom的云电话系统中实现未授权的RCE。建议所有自行安装CPS的用户尽快更新到最新版本。
摘要由CSDN通过智能技术生成

Source :- https://tutorialboy24.blogspot.com/2022/03/the-story-of-3-bugs-that-lead-to.html

A detailed post on how I chained 3 vulnerabilities (A path traversal, An SSRF in an external piece of software, and a post-authentication RCE) into a full pre-auth RCE in Pascoms Cloud phone system.

Introduction

Pascom Cloud Phone System (CPS) provides integrated communication solutions for businesses and individuals. You can read more about it here


After downloading their free trial which can be installed in Virtualbox, I discovered 3 vulnerabilities that chained together lead to an unauthenticated attacker gaining root on these devices. Below I'll describe all three bugs and how I was able to chain them into a full exploit .


These bugs have been patched in 7.20.x versions. If your CPS instance is hosted on the cloud (Provided by PasCom) then the second bug does not exist so it breaks the chain. But it's still affected by the RCE, Although by the time this blog is published it will be patched automatically for cloud users.

We advise all users hosting their own installs of CPS to update to the latest version ASAP.​​​​​​​

Pascom CPS System Structure​​​​​​​

Before we get into the vulnerabilities we should look at how the pascom CPS is structured. The system runs a Linux-based OS but the products are deployed interestingly. Instead of running the services in the same environment (OS), CPS has multiple LXC containers providing a variety of services.


There are 4 containers and they provide different services like a database and web UI services. Since our RCE will run within one of these containers we cannot gain access to the host OS. But since everything interesting is contained within these containers this does not limit the severity of the bugs. But I still felt like this is interesting enough to mention. Now, On with the bugs.

Path traveseral in Nginx to Tomcat reverse proxy requests (CVE-2021-45968)


The web UI exposes a java endpoint using Nginx reverse proxy. Using a known path traversal issue (see 

最低0.47元/天 解锁文章
tutorialboy24
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker(七):Docker基础总结篇--超详细
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-07 4万+
🟢 Docker(七):Docker基础总结篇[docker3要素、docker安装配置、容器使用、镜像管理发布]
一个自动将C#项目打包成ZIP的Python小程序
郝伟老师的博客——大数据、并行计算与人工智能时代
12-16 815
说明 每次C#项目在发布的时候有两问题: 每次都要把项目中的文件复制到指定的位置然后打包 每次都要删除多余的文件。 所以,为了方便操作,特编写了此类。 用法 $ python TMaker.py $pname $version $debug: C#项目的项目名称,在代码中对应inputs字典中的key。 $version: 项目的发布版本,如1.0。 源代码 第二版:将两个字典进行了合并...
文件磁盘相关函数[7]-建立文件夹 CreateDir; CreateDirectory; ForceDirectories
weixin_30279671的博客
11-02 194
代码如下: procedure TForm1.N12Click(Sender: TObject); //建立文件夹 CreateDir; CreateDirectory; ForceDirectories var dir: string; Bool: Boolean; begin dir := 'f:\test'; if not DirectoryExist...
Java - The Basics of Java Generics
热门推荐
了解➔熟悉➔掌握➔精通
10-15 3万+
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请点击http://www.captainbed.net 1. Introduction Java Generics were introduced in JDK 5.0 with the aim of reducing bugs and adding an extra layer of abstract...
Fantastic-Bugs-and-Where-to-Find-Them:
04-06
神奇的错误和在哪里找到它们
A Few Billion Lines of Code Later - Using Static Analysis to Find Bugs in the Real World - ACM - 2010 (BLOC-coverity)-计算机科学
04-22
66 communicAtions of the Acm | FeBrUAry 2010 | vOl. 53 | nO. 2contributed articlesIn 2 002, COVErITY commercialized3 a research static bug-finding tool.6,9 Not surprisingly, as academics, our view ...
cpu-bugs64.rar_The First
09-23
The following code leads to a wrong result of the first dsll32 when d on R4000 rev. 2.2 or 3.0 (PRId 00000422 or 00000430, respectively).
Testnet3-挑战:此仓库专用于Concordium激励Testnet3
02-05
Testnet3-挑战:此仓库专用于Concordium激励Testnet3
Bugs Bunny Wallpapers and New Tab-crx插件
03-14
Bugs Bunny高清壁纸和新标签主题,带来最佳浏览体验 我们为您提供Bugs Bunny扩展程序,它带有此流行卡通人物的随机高质量主题,这将使您的浏览器超级有趣和刺激。 每次您打开新的标签页时,这些壁纸都会显示出来。 ...
函数模板与类模板
程序员_小兵
07-12 1564
/交换int数据a = b;b = temp;//交换char数据a = b;b = temp;//问题:如果我要交换double类型数据,那么还需要些一个double类型数据交换的函数//繁琐,写的函数越多,当交换逻辑发生变化的时候,所有的函数都需要修改,无形当中增加了代码的维护难度//如果能把类型作为参数传递进来就好了,传递int就是Int类型交换,传递char就是char类型交换//我们有一种技术,可以实现类型的参数化---函数模板。
Linux C | 管道open打开方式
I_feige的博客
07-12 332
1.
Reversing Numbers C++
FGGFFoj的博客
07-11 383
在默认情况下,C++的输入输出流(比如 cin, cout)与C标准库的输入输出流是同步的,这意味着在使用C++的输入输出流时,可能会因为需要与C标准库的同步而导致性能略有损失。在 C++ 中,默认情况下,cin 和 cout 是绑定在一起的,意味着在输入时,输出可能需要等待输入完成才会进行,这样可能会造成一些性能上的损失,特别是在需要频繁输入输出的场景下。需要注意的是,在取消同步后,应确保不要混合使用C++的输入输出和C标准库的输入输出,因为这可能会导致未定义的行为。
c++ primer plus 第16章string 类和标准模板库,string 类输入
zhyjhacker的博客
07-14 1042
c++ primer plus 第16章string 类和标准模板库,string 类输入。
c++ 生成随机字符串
最新发布
m0_56306892的博客
07-15 169
以下是一个示例代码,它使用std::random_device和std::mt19937生成随机字符,并将结果存储在一个字符串中。std::uniform_int_distribution<> distribution(0, max_index - 1) 创建一个均匀分布,以确保生成的随机数在字符集的索引范围内。输出随机字符串: 在主函数中调用generateRandomString生成一个长度为1024的随机字符串,并输出结果。std::random_device rd 用于生成一个随机种子。
05day--C++日期类的实现与取地址运算符的重载
weixin_73863912的博客
07-13 459
• const实际修饰该成员函数隐含的this指针,表明在该成员函数中不能对类的任何成员进⾏修改。const 修饰Date类的Print成员函数,Print隐含的this指针由 Date* const this 变为 const Date* const this。• 将const修饰的成员函数称之为const成员函数,const修饰成员函数放到成员函数参数列表的后⾯。取地址运算符重载分为普通取地址运算符重载和const取地址运算符重载,⼀般这两个函数编译器⾃动。⽣成的就可以够我们⽤了,不需要去显⽰实现。
C++:哈希表
m0_61088872的博客
07-12 717
如果我们想要搜索这个数据,直接计算出这个数据的下标,然后就可以直接访问数组对应的位置,所以可以用O(1)的复杂度直接找到数据。当这个哈希表越满,我们查找数据的效率就越低,甚至说:如果查找一个不存在的数据,我们可能要用O(N)的复杂度遍历整个哈希表.因此我们因该把哈希表的负载率控制在一定值,当超过一定值,我们就要进行扩容操作。闭散列,也叫做开放定址法,当发生哈希冲突时,如果哈希表没有被装满,说明哈希表中还有空位置,那么我们可以把发生冲突的数据放到下一个空位置去。转化的函数,被写为了一个模板,而这个。
鸿蒙开发:Universal Keystore Kit(密钥管理服务)【密钥删除(C/C++)】
m0_70748845的博客
07-12 361
为保证数据安全性,当不需要使用该密钥时,应该删除密钥。
[C/C++入门][变量和运算]7、交换变量(空杯思想)
qq_14840819的专栏
07-14 542
如图,一杯牛奶,一杯咖啡,如何进行交换呢?相信懂的都懂,不懂的看完这个图也就懂了。生活中非常简单的例子,放到我们计算机中也同样适用。
Unable to edit server properties Extension backend error - cannot read properties of null (reading 'rsp')
05-13
This error message suggests that there is an issue with the backend code of the server properties extension. It seems that the code is trying to read a property of a null object, which is causing the error. To troubleshoot this issue, you may want to check the backend code of the server properties extension and see if there are any missing or null objects. You can also try debugging the code to identify the root cause of the problem. Another approach is to check if there are any updates available for the server properties extension. Updating the extension may fix any bugs that are causing the error. If none of these solutions work, you may want to seek assistance from the developer of the server properties extension or from a technical support team. They may be able to provide further guidance on how to resolve the issue.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值