mysql堡垒机漏洞_齐治堡垒机后台存在命令执行漏洞(CNVD-2019-17294)分析

最新推荐文章于 2023-06-05 22:09:17 发布
最新推荐文章于 2023-06-05 22:09:17 发布
阅读量163 收藏
点赞数
文章标签: mysql堡垒机漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39620252/article/details/113606414
版权

基本信息

引用:https://www.cnvd.org.cn/flaw/show/CNVD-2019-17294

补丁信息:该漏洞的修复补丁已于2019年6月25日发布。如果客户尚未修复该补丁,可联系齐治科技的技术支持人员获得具体帮助。

漏洞复现

如下图,通过在传递参数”service=`id`”,成功执行命令,并回显命令执行结果。

956fb9aba6a359d3d2d732b54c238c8c.png

源代码分析

首先,定位到/audit/data_provider.php,直接查找$_GET[‘service’]或者$_REQUEST[‘service’]都找不到。原来在文件开头包含的common.php中,已有全局配置。

代码如下,不但给变量加了个前缀”req_”,还过滤掉了一些危险字符。

f50c47d73b811caf1658e088a24e15dc.png

然后,搜索” $req_service”定位到data_provider.php文件的第99行。可见,将$GET[‘service’]赋值到$service变量中。

1831ee3fa7215d7477621a74f6cb1248.png

然后,跟进$service来到data_provider.php文件的第124行。可见,通过字符串拼接,将$_GET[‘service’]带入到$cmd变量中。

bbb62f7e51dc0d15e79a3acc4bae3208.png

然后,跟进$cmd来到data_provider.php文件的第133行。可见,$cmd被带入exec函数中执行。至此,造成远程命令执行漏洞。

fba3962a33fdbbdd02d0a705e3843b1c.png

漏洞利用

通过反单引号执行命令,写入PHP一句话代码到服务器。

原理如下图所示,这样就可以绕过过滤执行任意命令。实际上,还需要用${IFS}替换掉空格才行。

0304dab4bb3039f41e5c2e92a7de24ad.png

所以,最终方案如下。

fd0aacc2f6e8afd725f15d58a4c35a51.png

引用

转载请注明出处。

weixin_39620252
关注
中远麒麟堡垒机admin_commonuserSQL注入漏洞
xiaokp7的博客
09-13 450
中远麒麟依托自身强大的研发能力,丰富的行业经验,自主研发了新一代软硬件一体化统一安全运维平台一-iAudit 统一安全运维平台。该产品支持对企业运维人员在运维过程中进行统一身份认证、统一授权、统一审计、统一监控,消除了传统运维过程中的盲区,实现了运维简单化、操作可控化、过程可视化,是企业 IT 内控最有效的管理平台。中远麒麟堡垒机admin.php接口处存在sql注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
齐治堡垒机后台存在命令执行漏洞CNVD-2019-17294分析
aijin3040的博客
07-16 1278
基本信息 引用:https://www.cnvd.org.cn/flaw/show/CNVD-2019-17294 补丁信息:该漏洞的修复补丁已于2019年6月25日发布。如果客户尚未修复该补丁,可联系齐治科技的技术支持人员获得具体帮助。 漏洞复现 如下图,通过在传递参数”service=`id`”,成功执行命令,并回显命令执行结果。 ...
齐治堡垒机ShtermClient-2.1.1命令执行漏洞CNVD-2019-09593)分析
aijin3040的博客
07-17 3880
一、基本信息 参考:https://www.cnvd.org.cn/flaw/show/1559039 补丁信息:该漏洞的修复补丁已于2019年4月1日发布。如果客户尚未修复该补丁,可联系齐治科技的技术支持人员获得具体帮助。 二、漏洞挖掘过程 这是我第一次接触运维堡垒机,通过堡垒机登录目标服务器/应用,就像在本地直接打开一样,觉得很神奇。 1、挖掘过程 首先,在安装齐治运维堡...
mysql堡垒机漏洞_齐治堡垒机ShtermClient-2.1.1命令执行漏洞CNVD-2019-09593)分析
weixin_39992483的博客
02-02 644
一、基本信息参考:https://www.cnvd.org.cn/flaw/show/1559039补丁信息:该漏洞的修复补丁已于2019年4月1日发布。如果客户尚未修复该补丁,可联系齐治科技的技术支持人员获得具体帮助。二、漏洞挖掘过程这是我第一次接触运维堡垒机,通过堡垒机登录目标服务器/应用,就像在本地直接打开一样,觉得很神奇。1、挖掘过程首先,在安装齐治运维堡垒机客户端软件ShtermClie...
mysql堡垒机漏洞_关于近期网传齐治堡垒机漏洞的声明
weixin_39759589的博客
02-02 664
尊敬的用户:齐治科技(下述简称“齐治”)注意到近期有消息称“齐治堡垒机存在未修复的前台远程代码执行漏洞”。经过确认,消息提及的漏洞齐治已停售产品Shterm的已修复漏洞,请仍在使用Shterm堡垒机的用户及时升级至最新版本。详细情况如下。//消息来源一网上流传一张涉及齐治堡垒机的图片(其他厂家信息已做模糊处理)。可以看到该信息非常简单,所述漏洞缺少细节,并且把“齐治”写成“奇治”,可采信度很低...
齐治堡垒机前台远程命令执行漏洞CNVD-2019-20835)分析
aijin3040的博客
07-27 3653
一、基本信息   漏洞公告:https://www.cnvd.org.cn/flaw/show/1632201   补丁信息:该漏洞的修复补丁已发布,如果客户尚未修复该补丁,可联系齐治科技的技术支持人员获得具体帮助。 二、源代码分析   问题出现在ha_request.php文件,第37行的exec函数,$url为用户可控的变量,可见第33和34行。目光来到第23和24行,只要n...
74CMS_6.0.48_远程命令执行_CNVD-2021-45280
02-22
本文为 漏洞编号 CNVD-2021-45280 ,即 74CMS 远程命令执行漏洞利用工具源码内容 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 更...
CNVD-2019-34241 SQL注入.MD
03-20
CNVD-2019-34241 SQL注入.MD
weblogic_rce:cve2019_2725,CNVD-C-2019-48814 Weblogic _async远程命令执行exp
03-15
CNVD-C-2019-48814,CVE-2019-2725 Weblogic _async远程命令执行exp 主要代码基于js实现。 Linux Payload使用Jason,Windows Payload修改为10271,执行java.lang.Runtime。 环境需求 Windows的所有版本。 用法 cve...
齐治堡垒机任意用户登录漏洞
maverickpig的博客
01-23 4088
2021年进入网络安全行业,作为网络安全的小白,分享一些自学基础教程给大家。希望在自己能体系化的总结自己已有的知识的同时,能对各位博友有所帮助。文章内容比较基础,都是参考了很多大神的文章,各位不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力! 由于传播和使用本文所提供的任何直接或间接的后果和损失,均由用户承担,作者对此不承担任何责任。如果文章出现敏感内容产生不良影响,请联系作者删除。 工作中遇到的漏洞,记录一下,本文仅作学习之用,请勿进行网络犯罪,遵守《网络安全法》等相关法律法规。 漏洞说明 浙江齐
齐治堡垒机_任意用户登录漏洞
MD@@nr丫卡uer
04-12 1924
fofa查询语法 app=“齐治科技-堡垒机漏洞复现 漏洞POC为 http://xxx.xxx.xxx.xxx/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm
齐治运维堡垒机后台命令执行漏洞
qq_44657899的博客
06-26 2122
文章目录漏洞描述漏洞影响漏洞复现 漏洞描述 H3C SecParh堡垒机 data_provider.php 存在远程命令执行漏洞 漏洞影响 H3C SecParh堡垒机 漏洞复现 fofa语法: app="H3C-SecPath-运维审计系统" 先通过任意用户登录获取Cookie,/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(
mysql网络数据库操作模块_15.mysql数据库操作与Paramiko模块
weixin_39874795的博客
01-28 247
堡垒机前戏开发堡垒机之前,先来学习Python的paramiko模块,该模块机遇SSH用于连接远程服务器并执行相关操作SSHClient用于连接远程服务器并执行基本命令基于用户名密码连接:importparamikotransport= paramiko.Transport(('hostname', 22))transport.connect(username='wupeiqi', passwor...
mysql堡垒机漏洞_绿盟UTS绕过登录/齐治堡垒机 rce
weixin_39865440的博客
02-02 1177
1.绿盟UTS绕过登录随便输密码->修改返回包为True->放行->等待第二次拦截包->内含管理员MD5->替换MD5登录直接请求接口:/webapi/v1/system/accountmanage/account2.齐治堡垒机 rce利用条件:无需登录:第一http://10.20.10.11/listener/cluster_manage.php 返回“OK”。第...
开源堡垒机JumpServer远程命令执行漏洞复现
黑白的博客
05-02 4162
声明 好好学习,天天向上 漏洞描述 JumpServer 是全球首款完全开源的堡垒机, 使用GNU GPL v2.0 开源协议, 是符合4A 的专业运维审计系统。JumpServer 使用Python / Django 进行开发。 2021年1月15日,JumpServer发布更新,修复了一处远程命令执行漏洞。由于 JumpServer 某些接口未做授权限制,攻击者可构造恶意请求获取到日志文件获取敏感信息,或者执行相关API操作控制其中所有机器,执行任意命令。 影响范围 JumpServer < v2
齐治堡垒机某版本任意用户登录漏洞复现
ranuy阮的博客
05-20 3402
漏洞点 /audit/gui_detail_view.php poc /audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm fofa app="齐治科技-堡垒机" 验证 URL https://xx.xx.xx.xx/audit/gui_detail_view.php?to
堡垒机下的任意文件读取漏洞挖掘
潇湘信安的博客
06-05 434
测试的这个资产纳管到4A了,进入这个系统就是远程堡垒机的浏览器,不能用其他工具测试,纯手搓。
CNVD-2019-36999
最新发布
06-20
CNVD-36999是中国国家信息安全漏洞共享平台(CNVD)发布的安全漏洞报告编号。该漏洞通常与具体的软件或系统有关,但没有提供足够的上下文来确定它是关于哪个产品或服务的具体漏洞CNVD是中国的一个权威机构,负责收集...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值