可租性发现HPE智能管理中心7.3E0605标准多漏洞
DbmanOpcode10002任意备份
远程非认证攻击者通过向TCP2810端口的dbman服务发送编译Ocode10002消息触发iMC备份脆弱点存在于AsnPlat手册BackupReqcontent ASN1消息处理中攻击者可弹出备份Dir参数以具体说明备份对象路径智能部署监控代理必须配置备份这一方案极有可能基于与执行备份有关的最佳做法成功开发可以通过设置备份Dir指向外部可访问磁盘上的位置实现默认时iMC网络应用在HTTP端口8080监听,NoAuth网站目录外部可访问攻击者可指定绝对路径到 NoAUT目录并随后下载备份文件
下表文件备份进程注意时标易变
- 127.0.0.1@aclm_db_imc_aclm_db_20180614_163110_full.db
- plat_20180614_163110.zip
- 127.0.0.1@config_db_imc_config_db_20180614_163110_full.db
- icc_20180614_163110.zip
- 127.0.0.1@invent_db_imc_inventory_db_20180614_163110_full.db
- 127.0.0.1@icc_db_imc_icc_db_20180614_163110_full.db
- perf_20180614_163110.zip
- 127.0.0.1@perf_db_imc_perf_db_20180614_163110_full.db
- 127.0.0.1@monitor_db_imc_monitor_db_20180614_163110_full.db
- report_20180614_163110.zip
- dbman_20180614_163110.conf
- db_catalog_20180614_163110.dat.ok
- db_catalog_20180614_163110.dat
- 127.0.0.1@vxlan_db_imc_vxlan_db_20180614_163110_full.db
- 127.0.0.1@vnm_db_imc_vnm_db_20180614_163110_full.db
- 127.0.0.1@vlanm_db_vlan_db_20180614_163110_full.db
- 127.0.0.1@syslog_db_imc_syslog_db_20180614_163110_full.db
- 127.0.0.1@reportplat_db_reportplat_db_20180614_163110_full.db
DbmanOpcode10003拒绝服务
AsnPlatmanualRestoreContent ASN1消息可能导致dbman服务拒绝服务条件消息中含有AsnPlat程序Restore项目类型序列发送重构文件Name字段值后服务可强制重开
更具体地说, std:基础字符串:子串函数调用此字段,如果值太小,则非处理 std:Out_of_range异常发生,导致进程崩溃归结于计算结果 并转录为子串推理归根结底,当EAX为负时,特例会发生见下文汇编指令
.text:004201C1 sub eax, 17h .text:004201C4 push eax .text:004201C5 lea ecx, [ebp+var_5C] .text:004201C8 push ecx .text:004201C9 lea ecx, [ebp+var_78] .text:004201CC call ds:?substr@?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QBE?AV12@II@Z !std::basic_string
std:分配器
>::substr(uint,uint)
下方由 WinDbg生成轨迹
0189ef28 7321df60 KERNELBASE!RaiseException+0x58 0189ef60 732a4833 MSVCR90!CxxThrowException+0x48 0189efd0 73276344 MSVCP90!std::_String_base::_Xran+0x37 0189efe4 732770df MSVCP90!std::basic_string
std:分配器
spet+0x1a 0189effc7377597MSVCP90
std:分配器
>:基础字符串
std:分配器
0x26 0189f018004201d2MSVCP90
std:分配器
>::substr+0x1d 0189f6c4 0046506b dbman+0x201d2 0189ff0c 72901004 dbman+0x6506b 0189ff44 731e3433 ACE_v6!ACE_OS_Thread_Adapter::invoke+0x74 0189ff7c 731e34c7 MSVCR90!endthreadex+0x44 0189ff88 768d33aa MSVCR90!endthreadex+0xd8 0189ff94 76f89f72 KERNEL32!BaseThreadInitThunk+0x12 0189ffd4 76f89f45 ntdll_76f50000!RtlInitializeExceptionChain+0x63 0189ffec 00000000 ntdll_76f50000!RtlInitializeExceptionChain+0x36
JMX不安全配置非认证远程代码执行
iMCJMX服务在TCP端口9091监听默认所有接口很容易远程代码执行此外,流程运行系统特权脆弱点可不经认证即开发
具体地说,脆弱性存在是因为JMX配置启动无需认证启动配置定义C:\program文件/iMC/client\bin/startup.batJMX配置需要SSL客户未经认证
漏洞可用下列方式编程开发:
- JMX服务器证书存储注:可远程检索
- JMX/RMI连接TCP端口9091
- 新建MBEAN注册即时javax管理.加载.Mlet
- 使用此MBEAN应用addURL方法URL指向攻击者控件JAR文件
- 攻击者控制JAR定义自定义可即时化
- 攻击者Mean即时执行攻击者定义Ja
DbmanOpcode100001信息披露
AsnPlatRemoteDiskDirReqcontent ASN1消息处理中存在信息披露漏洞通过发送这些消息,攻击者能够映射文件系统并发现所有文件与目录的存在专用读取 。
iMC类远程FileChooser定义本类应用用户接口允许用户使用dbman协议浏览远程文件系统
概念Java程序证明注意POC简单使用远程搜索类运行程序后将显示用户接口
mackiimport com.h3c.imc.deploy.dma.RemoteFileChooser!publicLunit {公共静电主控{远程fileChooser选择器=新建远程fileChooserchooser.setPath("C:\\")!chooser.openRemoteFileChooserDialog()!}}
JMX不安全配置不认证远程信息披露
HPEiMCJMX服务发现信息披露漏洞,该服务默认监听TCP端口9091所有接口脆弱点可远程开发,不认证
具体地说,脆弱性存在是因为JMX配置启动无需认证启动配置定义C:\program文件/iMC/client\bin/startup.batJMX配置需要SSL客户未经认证正因如此 不明攻击者能启动JConsole会议敏感信息可用此客户端阅读
可通过以下方式开发漏洞:
- JMX服务器证书存储注:可远程检索
- JMX/RMI连接TCP端口9091使用jconole
- 用户界面现在可用检查Jaava内存、线程、类、VM汇总和MBEES
- 特别是上表启动命令可以在VM汇总标签中查看注意它包含键盘密码简洁文本
DbmanOpcode10014
dbman服务通过发送“杀字消息”可以停止Opcode 10014消息处理不认证处理此类型消息后,dbman.exe进程即时重开似乎是预期功能,因为不发生崩溃不论意图行为如何,远程非认证攻击者可能导致拒绝服务
日志项写到dbman_debug.log
2018-07-10 09:44:34 [My_Actel_Handler:handle_inpt]连接建立2018-07-10 09:44:34[DEBUG][CommandMain]停止命令main(2018-07-10) 09:44:34[INFO][JoinCommandTread]开始加入命令线2018-07-102018-07-1009:44342018-07-10 09:44:38av计数 2018-07-1009:44#Mein#General目录C:/Program文件/iMC/dbman201807-1009:44:38[INFO]N9:44:39[DEBUG]2018-07-1009:4439命令启动2018-07-10 09:44:44开始排查正常路由 2018-07-10 09:44:41[INFO] 2018-07-10LogSize=10485760-07-09:44:41[INFO]ServerCount=-1201807-1009:444