国内企业漏洞披露(一)(附分析)
2021-03-11 11:52:08 Author: www.4hou.com(查看原文) 阅读量:226 收藏

宝塔越权漏洞

这个漏洞于2020年8月23日上午公开,宝塔官方于晚上8点发布短信紧急修复公告,漏洞通过访问指定url可以直接越权利用,影响近9W余台服务器,利用payload如下:http://ip:888/pma

通过访问以上url可以直接越权至phpmyadmin后台,也有许多娱乐圈黑客利用此漏洞四处破坏,造成了严重的社会影响,更有甚者在gov站点上挂黑页。
该漏洞主要影响版本有:
宝塔linux面板 7.4.2
宝塔windows面板6.8

此漏洞利用难度几乎为零

image.png

修复方案:
1、升级宝塔面板至最新版本7.4.3,在面板内即可升级。
2、关闭888端口。

通达OA RCE漏洞

说到通达OA,它最近爆出的漏洞可真的不要太多了,就在几个月之前也爆出过RCE getshell漏洞,那时候我也写出了EXP并进行分析。这一次爆出的RCE同样是auth身份验证文件的问题,但却不是他的锅。下面我们来对代码进行审计吧!

漏洞影响版本:
通达OA < v11.7

首先漏洞的关键产生原因就是文件删除漏洞,攻击者通过该漏洞删除了auth身份验证文件,导致验证失效从而进行任意文件上传,任意文件删除漏洞产生位置在:  /module/appbuilder/assets/print.php

我们来看一下它的源码

P.S. 注意通达OA的源码是加密的,需要使用SeayDZend工具解密之后 即可正常阅读源码

image.png

在上图代码中我们可以看到用户可以通过GET方式控制变量guid,然后下面对文件是否存在进行检测,如果存在则会调用unlink函数进行删除文件,s_tmp变量这里拼接了guid变量,所以这里我们就可以通过guid参数进行目录穿越从而进行任意文件删除,PAYLOAD如下:
http://ip/module/appbuilder/assets/print.phpguid=../../../webroot/inc/auth.inc.php

注意在测试时进行备份,删除了auth.inc.php可能导致部分功能不可用。
删除了auth.inc.php文件,我们继续分析文件上传点的源码,漏洞发生位置为:

/general/data_center/utils/upload.php

image.png

首先传入参数action=upload进入,然后传入不存在的filetype这里可以任意取值,最后传入repkid参数值为/.<>./.<>./.<>./ 逃逸file_exits函数。数据包中构建上传文件操作,上传文件参数名为FILE1。
这里的逃逸操作,使其进入if条件中拷贝文件至网站根目录。

image.png

最后直接访问http://ip/_filename.php即可

数据包如下图:

image.png

修复方式:

更新至最新版本v11.7即可

更新地址:https://www.tongda2000.com/download/sp2019.php

EXP地址:https://github.com/wikiZ/tongda-deleteRCE

绿盟UTS综合威胁探针管理员任意登录

漏洞利用过程: 

image.png

image.png

对响应的数据包进行修改,将false更改为true的时候可以泄露管理用户的md5值密码

image.png

image.png

image.png

利用得到的md5值去登录页面

image.png

7ac301836522b54afcbbed714534c7fb

image.png

image.png

成功登录,登录后通过管理员权限对设备进行管控,并且可以看到大量的攻击信息,泄露内部网络地址包括资产管理。

这三个漏洞都是在2020HW期间发现的,影响范围很大,企业应该及时发现并且修补这类漏洞。

资料参考自:

《2020HW热门0day分析与复现》 https://mp.weixin.qq.com/s/XL85z9br2pMMj5NkYhdmMA 

《2020HW最新漏洞及利用方法》  https://mp.weixin.qq.com/s/oBayKAh9Ctd_AenN3FRVog

如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/MNoP
如有侵权请联系:admin#unsafe.sh