在开发检测的插件漏洞披露惠普在2016-03-15站得住脚的发现了两个问题,可以允许远程代码执行。
# 1 - mod_smh_config。所以/代理/ SetSMHData管理员组参数处理远程堆栈缓冲区溢出
在代码中处理POST请求通过“/代理/ SetSMHData“端点,堆栈缓冲区溢出条件,可以达到与attacker-supplied数据。开发的先决条件需要一个非默认SMH配置包括:
- TrustedByAll配置
- 没有知识产权限制攻击者
- Kerberos授权未启用
# 2 - mod_smh_aa。所以/代理/ SSO TKN参数处理远程堆栈缓冲区溢出
第二个潜在远程代码执行漏洞被发现在一个函数,将一个十六进制字符串转换为二进制字节mod_smh_aa.so。利用不需要身份验证,可以启动对SMH目标使用默认配置。相关代码,sscanf ()函数在一个循环将用户提供的十六进制字符串转换成二进制字节并将转换后的字节存储在一个固定大小(0 x400)缓冲在堆栈上,导致缓冲区溢出。而这种攻击对SMH默认安装工作,有一些假设:
- 目标SMH配置了“信任证书”信任模式;这是默认的,是最安全的方式。
- 至少有一个证书是安装在“信任管理服务器”SMH Web GUI。与惠普系统相关联的证书通常上市有洞察力经理(SIM) SMH安装管理系统。您可以手动导入PEM-formatted证书在“可信管理服务器”页面,或者你可以获取和导入一个SIM通过指定的主机名称或IP的SIM卡,页面上“服务器名称:”字段。
- 注意,“信任证书”信托模式至少有一个配置“信任管理服务器”可能是一个可能SMH配置。
攻击向量:脆弱的代码,攻击者需要:
- 发送一个POST请求到https://[目标]:2381 /代理/ SSO
- 指定一个正确的一双
哈和XE在POST请求参数。HA是散列算法用来计算一个证书的指纹,将用于SSO身份验证(单点登录)。XE证书的指纹。在一起,哈和XE标识一个证书SMH可信管理服务器上安装。一个有效的哈和XE可以通过发送一个GET请求到https://[目标]:2381 /代理/ GetInstalledSsoCerts没有认证。
- 指定一个过于长
TKN参数后寻求0 x400-byte堆栈溢出缓冲区。
- 指定一个
关键当前时间的参数,是Unix时间(这可能不是必需的,没有测试)。
示例PoC:
[jerboa@scallywag]美元curl - k - https://192.168.37.19:2381 /代理/ GetInstalledSsoCerts HTTP / 1.1 200 OK日期:星期五,08年4月2016 18:25:13格林尼治时间服务器:CompaqHTTPServer / 9.9 HP系统管理主页[. .]
哦,来吧,你一定不希望我们放弃货物!加入我们的一个技术团队,得到利用,福利,工资!