2020 HW 记录
- 2020 HW行动
- 0x00 0day 列表
- 1-你们懂的-san X EDR命令执行
- 2-奇安信天擎EDR管理服务器远程命令执行RCE漏洞
- 3-天X信dlp 未授权漏洞--应该是以前的
- 4-你们懂的-san X vpn rce
- 5-致远OA-A8-V5最新版未授权getshell
- 6-通达OA11.6 preauth RCE
- 7-你们懂的-san X终端检测响应平台 - 任意用户登录
- 8-Apache Shiro权限绕过漏洞(CVE-2020-13933)
- 9- Horde Groupware Webmail Edition RCE
- 10-ApacheDubbo远程代码执行漏洞CVE-2020-11995
- 11-你们懂的-san X终端检测响应平台 - 权限绕过
- 12-PHPCMS V9 存在RCE 漏洞
- **13-QEMU-KVM越界读写漏洞(CVE-2020-14364)**
- 14-宝塔面板未授权访问漏洞
- 15-Jackson 反序列化安全漏洞 (CVE-2020-24616)
- 16-Apache Shiro身份验证绕过(CVE-2020-13933)
- 0x01 其他
- author:DesM0nd
2020 HW行动
0x00 0day 列表
收集2020hw期间的0day资料
1-你们懂的-san X EDR命令执行
威胁等级:
严重
漏洞描述:
漏洞参数 host,直接进行命令执行
Fofa:语法 title=“终端检测响应平台”
payload
tool/log/c.php?strip_slashes=system&host=id
工具
–未测试,谨慎使用
EDR命令执行工具.jar
参考
https://mp.weixin.qq.com/s/qJGLQaJM0FrHto3uJhh09w
https://mp.weixin.qq.com/s/x6w78jblrELmWuWBw8MqGg
2-奇安信天擎EDR管理服务器远程命令执行RCE漏洞
威胁等级:
严重
漏洞描述:
影响范围:使用奇安信天擎EDR产品的主机
暂时不详
说明:
该漏洞通过深信服SSLVPN进入内网后,利用这类漏洞控制所有装有edr的机器。
3-天X信dlp 未授权漏洞–应该是以前的
漏洞影响:已知版本号v3.1130.308p3_DLP.1
风险等级:高
漏洞细节:管理员登陆系统之后修改密码,未采用原由码校验,且存在未授权访问导致存在了越权修改管理员密码.
默认用户superman的uid=1
POST /?module-auth_user&action=mod_edit.pwd HTTP/1.1
4-你们懂的-san X vpn rce
5-致远OA-A8-V5最新版未授权getshell
6-通达OA11.6 preauth RCE
脚本:
rce.py OA在真实环境里面好像要删掉auth.inc.php
参考
https://github.com/TomAPU/poc_and_exp
https://mp.weixin.qq.com/s/V7eZzVhUwoOS9T5bBspuDQ
7-你们懂的-san X终端检测响应平台 - 任意用户登录
注:2020年08月18日,fofa是通杀,版本小于 3.2.19
fofa指纹: title=“SANGFOR终端检测响应平台”<br /
漏洞利用
payload: https://ip/ui/login.php?user=随意
例如: https://url/ui/login.php?user=admin
输入完毕以后即可直接登录平台
如下图
漏洞解析
在源码的:/web/ui/login.php 文件里面
参考来源:
https://www.yuque.com/pmiaowu/hcy2bz/fp4icw?from=groupmessage
8-Apache Shiro权限绕过漏洞(CVE-2020-13933)
影响范围:Apache Shiro < 1.6.0
这漏洞又是对上一个shiro漏洞修复的绕过–上一篇分析
url编码->%3b连接参数后可以绕过登陆权限限制页面,这里用%3B也可以。
参考
https://mp.weixin.qq.com/s/oDgFheH-mSyvO87Wn1f6sw
9- Horde Groupware Webmail Edition RCE
https://blog.csdn.net/qq_22807425/article/details/108118740
10-ApacheDubbo远程代码执行漏洞CVE-2020-11995
漏洞名称:Apache Dubbo远程代码执行漏洞CVE-2020-11995
威胁等级:高危
影响范围:
Apache Dubbo 2.7.0 - 2.7.7
Apache Dubbo 2.6.0 - 2.6.8
Apache Dubbo 2.5.x
漏洞类型:远程代码执行
利用难度:中等
参考:
https://mp.weixin.qq.com/s/g3xzAyJXsgfw8LnBBuRP5A
11-你们懂的-san X终端检测响应平台 - 权限绕过
利用条件:
Y-Forwarded-For 绕过
漏洞风险:
此漏洞危害极高,例如可以多接口搭配下发脚本,控制所有植入Agent的服务器权限
影响版本:< 3.2.21
参考:
https://mp.weixin.qq.com/s/4Z4QF-Wdq2PhqCkGKB8Q6Q
12-PHPCMS V9 存在RCE 漏洞
本漏洞需要先通过遍历暴破获取auth_key。
利用过程中产生较大流量。
参考:
https://mp.weixin.qq.com/s/zLXJtekT9O3OuzwBLigMsA
13-QEMU-KVM越界读写漏洞(CVE-2020-14364)
简介
QEMU是一套由法布里斯·贝拉(Fabrice Bellard)所编写的以GPL许可证分发源码的模拟处理器,在GNU/Linux平台上使用广泛
危害
由于VHOST/VHOST_NET缺少对内核缓冲区的严格访问边界校验,攻击者可通过在虚拟机中更改VIRTIO network前端驱动,在该虚拟机被热迁移时,触发内核缓冲区溢出实现虚拟机逃逸,获得在宿主机内核中任意执行代码的权限,攻击者也可触发宿主机内核崩溃实现拒绝服务攻击。
详情
漏洞详情:该漏洞存在于Qemu USB模块,可造成越界读写,进而实现虚拟机逃逸。
@@ -129,6 +129,7 @@ void usb_wakeup(USBEndpoint *ep, unsigned int stream)
static void do_token_setup(USBDevice *s, USBPacket *p)
{
int request, value, index;
+ unsigned int setup_len;
if (p->iov.size != 8) {
p->status = USB_RET_STALL;
@@ -138,14 +139,15 @@ static void do_token_setup(USBDevice *s, USBPacket *p)
usb_packet_copy(p, s->setup_buf, p->iov.size);
s->setup_index = 0;
p->actual_length = 0;
- s->setup_len = (s->setup_buf[7] << 8) | s->setup_buf[6];
- if (s->setup_len > sizeof(s->data_buf)) {
+ setup_len = (s->setup_buf[7] << 8) | s->setup_buf[6];
+ if (setup_len > sizeof(s->data_buf)) {
fprintf(stderr,
"usb_generic_handle_packet: ctrl buffer too small (%d > %zu)\n",
- s->setup_len, sizeof(s->data_buf));
+ setup_len, sizeof(s->data_buf));
p->status = USB_RET_STALL;
return;
}
+ s->setup_len = setup_len;
根据补丁分析漏洞成因为:
当s->setup_len 获得的值大于sizeof(s->data_buf) 时,返回时没有将s->setup_len的值清零。导致后续在函数do_token_in 或 do_token_out使用s->setup_len时出现越界读写漏洞
poc
CVE-2020-14364.c
修复建议
1、正式解决方案:
Linux内核主线已于9月15日发布补丁,用户可参照补丁代码进行修复:
https://github.com/torvalds/linux/commit/060423bfdee3f8bc6e2c1bac97de24d5415e2bc4
https://git.kernel.org/pub/scm/linux/kernel/git/mst/vhost.git/commit/?h=for_linus&id=060423bfdee3f8bc6e2c1bac97de24d5415e2bc4
使用Linux发行版本的用户可按照发行版厂商公告来修复该漏洞:
RedHat: https://access.redhat.com/errata/RHSA-2019:2827
https://access.redhat.com/security/vulnerabilities/kernel-vhost
Ubuntu: https://usn.ubuntu.com/4135-2/
Debian: https://www.debian.org/security/2019/dsa-4531
SUSE:https://www.suse.com/security/cve/CVE-2019-14835
2、临时解决方案:
(1)禁用热迁移功能
由于此漏洞只有在虚拟机热迁移过程中才会被触发,可以通过禁用虚拟机热迁移来规避漏洞利用。
验证方法:无法对虚拟机使用热迁移。
(2)禁用内核vhost-net模块
验证方法:modprobe验证virtio_net模块未加载。
(3)RedHat版本缓解措施
https://access.redhat.com/security/cve/cve-2019-14835
参考
https://www.cnvd.org.cn/webinfo/show/5233
https://www.freebuf.com/vuls/247829.html
14-宝塔面板未授权访问漏洞
宝塔面板Linux 7.4.2 版本和Windows 6.8版本存在未授权访问漏洞,远程攻击者通过访问特定路径,可以直接访问到phpmyadmin数据库管理页面,并可借此获取服务器系统权限。
【影响版本】
宝塔面板Linux 7.4.2 版本,Windows 6.8版本,Linux测试版本 7.5.14版本
漏洞复现:
ip:888/pma
未授权访问phpmyadmin:
15-Jackson 反序列化安全漏洞 (CVE-2020-24616)
br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,可以绕过jackson-databind 黑名单限制,远程攻击者通过向使用该组件的web服务接口发送特制请求包,可以造成远程代码执行影响。
【影响版本】
jackson-databind < 2.9.10.6
16-Apache Shiro身份验证绕过(CVE-2020-13933)
影响版本:
Apache Shiro < 1.6.0
0x01 其他
- 冰蝎 3.0 https://github.com/rebeyond/Behinder/releases
- 哥斯拉 https://mp.weixin.qq.com/s/MZEpUPJ69j-aMo5a3COgrg