用友漏洞分析+复现-环境搭建
代码获取略
环境部署
OS: Server 2022DB: 08R2
步骤
解压获取的代码,获得如下目录
解压NC6.5到任意目录
双击setup后安装过程略
装完后配置数据库初始化USE mastergoIF DB_ID (N'NC65') IS NOT NULLDROP DATABASE [NC65]goCREATE DATABASE [NC65]goALTER DATABASE [NC65] ADD FILEGROUP [NNC_DATA01]goALTER DATABASE [NC65] ADD FILEGROUP [NNC_DATA02]goALTER DATABASE [NC65] ADD FILEGROUP [NNC_DATA03]goALTER DATABASE [NC65] ADD FILEGROUP [NNC_INDEX01]goALTER DATABASE [NC65] ADD FILEGROUP [NNC_INDEX02]goALTER DATABASE [NC65] ADD FILEGROUP [NNC_INDEX03]goALTER D ...
泛微E-Cology9 VerifyGDLogin任意用户登录分析
0x01 前言在跟踪泛微补丁包时发现Ecology_security_20230725_v9.0_v10.58.3的SecurityRuleGdLogin0317的补丁疑似修复了一个SQL注入,因此跟踪下看看
上图为补丁关键操作,看内容像是进行了SQL注入检测,后续分析发现是一处任意用户登录
0x02 分析跟踪关键文件login/VerifyGDLogin.jsp
看源码为从URI中获取para、para1、para2后调用PoppupRemindInfoUtil.decrypt对para2做解密,然后通过weaver.login.VerifyGDLogin#getUserCheck方法进行登录校验
其中PoppupRemindInfoUtil.decrypt方法首先会校验WEB-INF/prop/AESpassword.properties中的pwd项是否为空,不为空则赋值给var1,为空则给var1赋值1
然后使用SM4IntegrationUtil.USE_SM4方法判断是否启用了国密SM4加密算法,如启用则使用SM4解密,否则调用AES.decrypt进行解密,默认为f ...
泛微历史漏洞分析【长文多图】(截止10.58.7补丁包)
37cfcb12c7124abf53343a0bda42c802262fa671f83b9eada48d82667f626707b5fff804b54875368fb0e38afa828167eccc0b08c63bdf197638b8375e0e36c50f5e6a19271a7a3c0cea5cc36ffc2e5ed71aa9878141806e744adf9daffe518a3fa2600c35291ebc8bd4968026df6d8cdaf9d81913eb618ab5143a7ead71eaff3ec092fd419175372d29901b90f7e6b90329225cab151dfd3b72da846e26f8122c144c8f8869f150fc4804abe5be74ea780ca342a0f4fca8ea6d85d0d024619ac6f1367bef6cc25fb8d6bce700dc6d1a9655688c88b6385bed67142b3cc749d2c5c40172461189ef83afaa8854c6af13fd707b31b70adf7fc ...
泛微OA任意用户登录<10.47
分析这个洞有2020/2021年数字那边挖的洞的影子
获取sessionkey
mobilemode/public.jsp
分析这个洞有2020/2021年数字那边挖的洞的影子
获取sessionkey
mobilemode/public.jsp
该文件无需权限即可访问,阅读代码构造相应参数后即可获取sessionkey
String userid;String url;String from = Util.null2String(request.getParameter("from"));if(from.equals("anonymous")){ MobileModeConfig mConfig = MobileModeConfig.getInstance(); if(!mConfig.isAnonymousAccessEnabled()){ out.println("anonymous access is not enabled"); return; ...
向日葵远程命令执行漏洞分析
0x00 相关报道
CNVD: https://www.cnvd.org.cn/flaw/show/CNVD-2022-10270
向日葵团队: https://www.oray.com/announcements/affiche/?aid=774
0x01 程序详情测试程序版本为11.0.0.33162,官网目前只开放12.5版本,但是可以遍历下载ID进行下载向日葵为C++编写,使用UPX3.X加壳故此分析前需要进行脱壳处理(github上有UPX项目,可以直接脱)此外向日葵在启动的时候会随机启动一个4W+高位端口并记录在日志中,具体在sub_140E0AAE8可看到
0x02 根据日志找session社会孙在视频中有一段疑似session的字符串根据这段疑似session的关键字在向日葵一次正常远程的日志中找到了关键字CID随后载入IDA,对CID关键字进行搜索找到3个函数存在CID关键字字符串sub_140E20938、sub_140E1C954、sub_140E1A1F4往上跟发现分别对应接口/cgi-bin/rpc和/cgi-bin/login.cgi 其中在函数sub ...