(R1)惠普网络自动化RPCServlet任意代码执行

惠普网络自动化(惠普NA)软件,可用于Windows或Linux”,自动从配置网络设备的完整生命周期操作基于策略的变更管理、合规、安全管理。“在惠普NARPCServlet或com.rendition.web.servlets.RpcServlet.class是一个HTTP端点可以通过调用GET或POST请求NA管理服务器在哪里https://[目标]/电话。的唯一目的RPCServlet似乎是任意的静态函数调用的客户端。这是很危险的,但是servlet限制对特定IP地址的访问:

1. 两个地址硬编码到servlet总是访问:127.0.0.1,0:0:0:0:0:0:0:1(又名localhost)。
2. “网关/网/主机在配置文件中“地址允许访问。默认情况下,这个值没有设置。
3. 所有的地址在“rpc / allowed_ips”配置选项。据我们所知这甚至不存在默认配置。

因此,默认情况下,RPCServlet只会从本地主机处理请求。阻碍全面远程代码执行,但对钓鱼善良开启了大门。类似于最近的漏洞发现通过偶极听完,如果攻击者可以得到一个用户与惠普NA安装在他们的机器上打开一个精心制作的网页攻击者可以访问RPCServlet和执行任意命令。这个向量通过反序列化也可利用的攻击。两个特定的库是有用的:Commons-Collections和Commons-BeanUtils。我们可以利用这些库来创建序列化的对象最终执行.exec Runtime.getRuntime () ()。