Latest Vulnerabilities

Reading time ~4 minutes

2018

  1. 【20181106】GOGS/Gitea任意代码执行(CVE-2018-18925/6)及利用流程
    • 漏洞分析:https://xz.aliyun.com/t/3168 https://www.anquanke.com/post/id/163575
    • Gogs 是一款极易搭建的自助 Git 服务。 Gogs 的目标是打造一个最简单、最快速和最轻松的方式搭建自助 Git 服务,使用 Go 语言开发。
    • Gitea是从Gogs发展而来,同样的拥有极易安装,运行快速的特点,而且更新比Gogs频繁很多,维护的人也多。
  2. 【20181106】Struts 2.3.36使用了1.3.2版本的commons-fileupload组件,存在反序列化命令执行漏洞
  3. 【20181019】Oracle Weblogic远程代码执行漏洞CVE-2018-3191
    • 描述:这个漏洞利用的gadget是weblogic中自带的,跟JDK版本无关,所以只要系统能连外网,未禁止T3协议,漏洞就可以利用,威力巨大。
    • 漏洞分析:https://www.anquanke.com/post/id/162274
  4. 【20181017】LibSSH 0.6及更高版本认证绕过漏洞
  5. 【20181010】GhostScript命令执行漏洞Bypass CVE-2018-17961
  6. **【20181009】CVE-2018-8453 Win32k Elevation of Privilege Vulnerability**
  7. 【20181007】MikroTik RouterOS未授权文件读取到GetShell
    • https://www.freebuf.com/vuls/187272.html
  8. 【20180930】GoogleProjectZero Linux内核提权 VMA-UAF 漏洞CVE-2018-17182
  9. 【20180919】交易前端图表通用JS组件 Tradingview 存在XSS漏洞
  10. 【20180912】Microsoft XML Core Services MSXML Remote Code Execution CVE-2018-8420
  11. 【20180905】ECShop全版本命令执行漏洞
  12. 【20180829】Windows ALPC 本地提权 CVE-2018-8440
  13. 【20180822】UEditor两个版本上传漏洞
  14. 【20180822】Struts2 命令执行漏洞 S2-057 CVE-2018-11776
  15. 【20180822】GhostScript沙盒绕过命令执行,影响ImageMagick CVE-2018-16509
  16. 【201808】Windows提权 CVE-2018-8120
  17. 【20180817】在野利用的 VBScript 引擎 UAF 漏洞 CVE-2018-8373
  18. 【20180815】OpenSSH用户枚举漏洞CVE-2018-15473
    • 描述:OpenSSH 7.7及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。攻击者可通过发送特制的请求利用该漏洞枚举用户名称。
    • POC:
  19. 【20180815】Microsoft Exchange Server 远程代码执行 CVE-2018-8302
  20. 【20180815】Intel CPU再爆芯片级漏洞 L1TF推测执行侧信道攻击漏洞 (L1 Terminal Fault Speculative)
  21. 【20180801】HP Ink Printers Remote Code Execution CVE-2018-5924, CVE-2018-5925
  22. 【20180808】Linux内核DoS漏洞 SegmentSmack CVE-2018-5390
    • CVE-2018-5390
  23. 【20180725】Jenkens任意文件读取漏洞 CVE-2018-1999002
  24. 【20180718】Weblogic未授权任意文件上传 CVE-2018-2894
  25. 【20180718】Weblogic反序列化漏洞 CVE-2018-2893
  26. 【20180703】Wechat Pay SDK XXE漏洞
  27. 【20180604】Microsoft JScript命令执行漏洞 CVE-2018-8267
  28. 【20180605】Zip Slip漏洞
  29. 【20180601】 Git submodule RCE漏洞 CVE-2018-11235
    • 描述:Git没有对子模块名称进行过滤,存在目录穿越漏洞。攻击者可以通过配置恶意的.gitmodules文件,将Git Hooks脚本文件推送到了客户端中,当用户在使用’git clone –recurse-submodules’时,触发RCE。
    • 漏洞点说明:通过路径穿越,可以设置任意目录为子模块的.git目录。而在这一目录下放入hooks/post-checkout等恶意hooks脚本,即可达到RCE的效果。
    • 漏洞分析:https://xz.aliyun.com/t/2371
    • 漏洞分析:https://staaldraad.github.io/post/2018-06-03-cve-2018-11235-git-rce/
    • 漏洞分析:https://atorralba.github.io/CVE-2018-11235/
    • POC:https://github.com/Rogdham/CVE-2018-11235
    • 影响范围: Git version < 2.13.7、Git version 2.14.x < 2.14.4、Git version 2.15.x < 2.15.2、Git version 2.16.x < 2.16.4、Git version 2.17.x < 2.17.1
    • 修复版本:Git version 2.14.4、2.15.2、2.16.4、2.17.1
    • 前置知识:
      1. .git/hooks文件夹下存放了Git Hooks脚本,本质上就是Shell脚本,在某些情况下会被Git调用。比如:在执行git checkout时会自动调用post-checkout脚本。这些Hooks脚本存放在客户端,clone项目时不会传递这些hook脚本。
      2. 主项目根目录的子模块文件夹下有一个.git文件,文件内容是这个子模块的.git目录路径。而这个路径通常指向了主项目的.git/modules目录,该目录下每一个文件夹对应的存放了各个子模块的.git目录的文件。而Git在解析.gitmodules文件时,会把子模块的名称,拼接到.git/modules/后面,当作子模块的.git目录路径。也就是这里导致了本次RCE漏洞。
      3. .gitmodules文件说明:https://git-scm.com/docs/gitmodules
      4. Git子模块工具:https://git-scm.com/book/en/v2/Git-Tools-Submodules
    • 利用流程:
      1. 创建恶意项目repo
      2. 添加一个恶意的子模块,命名为evil。git submodule add some_repo_address evil
      3. 将目录.git/modules/evil拷贝到主项目根目录的testdir/evil文件夹下。
      4. testdir/evil目录中的hooks目录添加恶意hook脚本。
      5. 配置.gitmodules,设置子模块的update参数为checkout,从而在子模块update时触发post-checkout脚本。(注:If you pass --recurse-submodules to the git clone command, it will automatically initialize and update each submodule in the repository.)
      6. 配置.gitmodules,使子模块的name../../testdir/evil,使子模块的Git目录指向主项目根目录下的testdir/evil
      7. 受害者git clone --recurse-submodules repo时触发RCE。
  30. 【20180529】EOS节点代码执行漏洞
  31. 【20180516】DHCP命令注入漏洞
  32. 【20180515】内核提权漏洞,程序员误读Intel文档 CVE-2018-8897 CVE-2018-1087
  33. 【20180515】盘古发现ZipperDown漏洞
  34. 【20180512】Node Security - macaddress模块存在命令执行漏洞
  35. **【20180508】CVE-2018-0824 Microsoft Windows COM 远程命令执行漏洞**
    • 该漏洞可远程调用一个计算机上的COM组件,根据内容分析,作者给出的POC无法对远程主机进行复现,是由于在调用CoGetInstanceFromIStorage()时未传递计算机名(COSERVERINFO),我们可以将调用COM组件的程序嵌入office或网页中,也能够获取目标主机的系统权限。
    • 影响:Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows 7 Microsoft Windows Windows Server 2012 Microsoft Windows 8.1 Microsoft Windows Server 2012 R2 Microsoft Windows RT 8.1 Microsoft Windows 10 Microsoft Windows Server 2016
    • 分析文章:https://codewhitesec.blogspot.com/2018/06/cve-2018-0624.html
  36. 【20180502】7-Zip命令执行漏洞(CVE-2018-10115)
  37. 【20180418】Weblogic 反序列化远程代码执行漏洞 CVE-2018-2628
  38. 【20180410】SpringDataCommons RCE漏洞 CVE-2018-1270
  39. 【20180406】SpringMessaging RCE漏洞 CVE-2018-1270
  40. 【20180328】Drupal代码执行漏洞(CVE-2018-7600)
    • PoC:https://github.com/dreadlocked/Drupalgeddon2/blob/master/drupalgeddon2.rb
    • 描述:Drupal 使用 # 开头的变量作为内部表达式使用的变量,但未考虑到用户请求中可构造该类型变量,在多个函数调用中可能导致任意代码执行漏洞。
    • 影响:小于 7.58 的所有 7.* 版本、小于 8.5.1 的所有 8.* 版本、已停止维护的 6.* 版本
    • 修复:7.* 升级到 7.58 https://www.drupal.org/project/drupal/releases/7.58
    • 修复:8.* 升级到 8.5.1 https://www.drupal.org/project/drupal/releases/8.5.1
    • 修复:6.* 和 8.3、8.4 已经停止维护,建议升级到 8.5.1 或 7.5.8
    • 公告:https://www.drupal.org/sa-core-2018-002
  41. 【20180406】Windows提权 TotalMeltdown
    • WindowsCPU补丁导致一个新的提权漏洞
  42. 【20180330】思科Cisco SmartInstallClient缓冲区溢出漏洞及多个严重漏洞CVE-2018-0171,默认口令CVE-2018-0150
  43. 【20180329】Drupal核心远程代码执行
  44. 【20180316】Ubuntu1604提权漏洞, 漏洞相关: CVE-2017-16995
  45. 【20180315】CredSSP MS-RDP漏洞?
  46. 【20180307】Adobe Acrobat ReaderPDF远程代码执行漏洞
  47. 【20180301】Memcache DDoS反射放大攻击
    • 安全预警:https://cert.360.cn/warning/detail?id=c63eb87058834e37c7c112c35ef5f9fd
    • 漏洞分析:基于Memcached分布式系统DRDoS拒绝服务攻击技术研究http://blog.csdn.net/microzone/article/details/79262549
    • 漏洞描述:利用memcache 11211端口作为DRDoS放大器,可将流量放大五万倍左右。向未鉴权的Memcache中插入大量数据,并伪造源IP进行读取操作,从而进行反射放大攻击。
    • 相关报道:https://thehackernews.com/2018/03/biggest-ddos-attack-github.html
    • PoC: python -c “print ‘\0\x01\0\0\0\x01\0\0stats\r\n’” nc -nvvu x.x.x.x 11211 >/tmp/null
    • PoC: https://github.com/kxcode/snippet/blob/master/memcache-reflect.txt
  48. 【20180201】Adobe Flash 缓冲区溢出漏洞 CVE-2018-4878
  49. 【201802】Wordpress全版本DoS漏洞
    • CVE-2018-6389
    • 漏洞影响范围: 全版本,官方没有发补丁
    • 漏洞描述:漏洞是一个应用程序级别的 DoS攻击问题,该漏洞出现在load-scripts.php文件中,load-scripts.php文件是为WordPress管理员设计的,允许将多个JavaScript文件加载到一个请求中,通过技术分析发现可以在登录之前调用该函数来允许任何人调用它,并通过少量请求返回大数据,造成服务器资源消耗,从而导致DoS攻击。
    • PoC: https://github.com/WazeHell/CVE-2018-6389/blob/master/CVE-2018-6389.py
    • PoC: CC攻击这个URL,https://example.com/wp-admin/load-scripts.php?c=1&load[]=jquery-ui-core&ver=4.9.1

      load[]参数可以填如下值:eutil,common,wp-a11y,sack,quicktag,….(可参考github上的PoC)

  50. 【20180128】PHP的GD库DoS漏洞
  51. 【20180124】Electron 命令执行

  52. 【20180101】谷歌发现暴雪DNS Rebind漏洞

  53. 【20180124】SmartyPHP模板引擎命令执行RCE漏洞
    • 分析文章:https://xianzhi.aliyun.com/forum/topic/1983
    • 组件指纹:smarty_internal_runtime_codeframe.php 存在这个文件说明使用smarty
    • 修复判断:如果文件内容没有str_replace('*/','* /',$_template->source->filepath)说明没有修复
    • 扫描用例:http://smart-y.teaser.insomnihack.ch/console.php?id=*/phpinfo();/*
  54. 【20180123】Office命令执行漏洞 CVE-2018-0802
  55. 【20180118】Libc Realpath缓冲区溢出漏洞(CVE-2018-1000001),Linux提权漏洞
  56. 【20180104】Intel等CPU存在边信道内存泄露漏洞: Meltdoan,Spectre

2017

  1. 【20171222】Weblogic WLS组件 XMLDecoder反序列化漏洞 CVE-2017-10271
  2. 【20171219】GoAhead服务器CGI存在LD_PRELOAD命令执行漏洞 CVE-2017-17562
    • 影响范围:3.6.5以下版本的GoAhead,开启CGI脚本支持
    • 漏洞描述:在初始化CGI脚本环境时,未限制用户参数中的环境变量名。该漏洞将影响所有开启了CGI脚本支持(动态链接可执行脚本文件)的GoAhead服务。通过传入恶意的LD_PRELOAD变量可以Hook服务器端的共享函数库,执行恶意动态链接对象。而且launchCgi方法会使用dup2()来处理stdin文件描述符,而它指向的是一个包含了POST请求body内容的临时文件。而Linux procfs文件系统的符号链接可以帮助我们直接引用stdin描述符,而它指向的就是我们所要找的临时文件。这样我们可以在Post Body中传入恶意Payload和相关构造器,来远程利用这个漏洞。
    • PoC:curl -X POST –data-binary @payload.so http://makemyday/cgi-bin/cgitest?LD_PRELOAD=/proc/self/fd/0 -i
    • 漏洞分析:http://mp.weixin.qq.com/s/fDR1tVvMJwXTeOWphUQl1Q
    • 漏洞分析:http://www.52bug.cn/%E9%BB%91%E5%AE%A2%E6%8A%80%E6%9C%AF/4282.html
  3. 【20171211】 Apache Synapse反序列化命令执行漏洞
  4. 【20171130】大脏牛漏洞 - Linux提权
  5. 【20171127】Office Word命令执行漏洞 CVE-2017-11882
    • 2017年11月14日,微软发布了11月的安全补丁更新,其中CVE-2017-11882是一个远程执行漏洞,通杀目前市面上的所有office版本及Windows操作系统(包括刚刚停止支持的Office 2007)。该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,是一个非常经典的栈溢出漏洞。
    • 漏洞分析:http://bobao.360.cn/learning/detail/4753.html
    • 利用程序:https://github.com/embedi/CVE-2017-11882
  6. 【20171116】CouchDB远程代码执行漏洞 - 参数污染加管理员
  7. 【20171020】Discuz竞价排行XSS漏洞

    • /misc.php?mod=ranklist&type=member 添加上榜宣言 <img src=1 onerror=alert(1)>
    • /misc.php?mod=ranklist&type=index 鼠标移动到当前用户头像处,触发XSS漏洞
    • 补丁:https://gitee.com/ComsenzDiscuz/DiscuzX/
  8. 【20171019】Apache Solr 7.0.1 - XML External Entity Expansion / Remote Code Execution

  9. 【20170929】Discuz!X任意文件删除漏洞

  10. 【20170928】Spring Data Rest远程代码执行漏洞

  11. 【20170920】Tomcat绕过安全限制PUT上传JSP文件,导致远程代码执行

  12. 【20170920】Wordpress SQLi、XSS等高危漏洞修复

  13. 【20170919】Apache Optionsbleed漏洞

  14. 【20170908】 S2-053 Struts2 Freemarker标签远程代码执行

    • https://cwiki.apache.org/confluence/display/WW/S2-053
  15. 【20170907】S2-052 Struts2 Rest插件反序列化命令执行漏洞

    • https://cwiki.apache.org/confluence/display/WW/S2-052
    • 分析:提交XML格式的恶意请求进行利用。
    • 安全版本:2.3.34、2.5.13
  16. 【20170809】Office任意代码执行 CVE-2017-0199
  17. 【20170613】CVE-2017-8464 Windows快捷方式任意代码执行漏洞
    • 描述:本地用户或远程攻击者可以利用该漏洞生成特制的快捷方式,并通过可移动设备或者远程共享的方式导致远程代码执行。
    • 利用条件:需要U盘自动播放才能发挥效果
    • 影响范围: Windows 7 Windows 8.1 Windows RT 8.1 Windows 10 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016
    • 漏洞文章: http://www.freebuf.com/news/143356.html
  18. 【20170512】永恒之蓝漏洞 MS17-010 CVE-2017-0144
  19. 【20170401】Supervisord RPC服务端RCE漏洞(需认证)

2016

  1. 【20160810】Shiro 1.2.4反序列化命令执行漏洞
    • 描述:Cookie中rememberMe字段使用硬编码的AES加密,并且会被反序列化。所以可以被篡改为反序列化Gadget进行命令执行。
    • 漏洞利用:需要根据目标的环境选择相应的Gadget,目标环境如有"commons-collections4:4.0"的漏洞类库,则可以用ysoserial的CommonsCollections2 payload直接打。但是如果目标环境是"commons-collections:3.1、3.2.1"类库的话,必须用JRMPClient中转一下,攻击者服务器监听JRMPListener再用CommonsCollection6等payload打。
    • 利用分析:对于commons-collections3.2.1环境,如果直接打commonscollection的payload,会报错
       java.lang.ClassNotFoundException: Unable to load ObjectStreamClass [[Lorg.apache.commons.collections.Transformer;:
       static final long serialVersionUID = -4803604734341277543L;]: 
      

      报错的原因是因为:Shiro resovleClass使用的是ClassLoader.loadClass()而非Class.forName(),而ClassLoader.loadClass不支持装载数组类型的class。

    • 漏洞分析:直接利用CommonsCollection执行 https://paper.seebug.org/shiro-rememberme-1-2-4/
    • 漏洞分析:利用JRMPListener执行 http://www.yilan.io/article/5b4dce6512d8c64b05ffd540
  2. 【201610】DirtyCow脏牛提权漏洞CVE-2016-5195