漏洞分析
我们可以通过CVE-2019-11510这个未授权的任意文件读取漏洞把以下文件下载回来。
/etc/passwd
/etc/hosts
/data/runtime/mtmp/system
/data/runtime/mtmp/lmdb/dataa/data.mdb
/data/runtime/mtmp/lmdb/dataa/lock.mdb
/data/runtime/mtmp/lmdb/randomVal/data.mdb
/data/runtime/mtmp/lmdb/randomVal/lock.mdb
其中,mtmp/system文件保存了用户名和密码哈希。
dataa/data.mdb缓存了已登录用户的明文密码。
randomVal/data.mdb文件保存了用户的会话。
但是就是获得了账号密码,也要面对双因素认证。
第一方法,通过randomVal/data.mdb保存的会话登录。
事实上,研究员还发现了以下安全漏洞。
CVE-2019-11510 - Pre-auth Arbitrary File Reading
CVE-2019-11542 - Post-auth Stack Buffer Overflow
CVE-2019-11539 - Post-auth Command Injection
CVE-2019-11538 - Post-auth Arbitrary File Reading
CVE-2019-11508 - Post-auth Arbitrary File Writing
CVE-2019-11540 - Post-auth Session Hijacking
影响版本
漏洞编号 影响版本
CVE-2019-11510 Pulse Connect Secure: 9.0RX 8.3RX 8.2RX
CVE-2019-11542 Pulse Connect Secure: 9.0RX 8.3RX 8.2RX 8.1RX 和 Pulse Policy Secure:9.0RX 5.4RX 5.3RX 5.2RX 5.1RX
CVE-2019-11539 Pulse Connect Secure: 9.0RX 8.3RX 8.2RX 8.1RX 和 Pulse Policy Secure: 9.0RX 5.4RX 5.3RX 5.2RX 5.1RX
CVE-2019-11538 Pulse Connect Secure: 9.0RX 8.3RX 8.2RX 8.1RX
CVE-2019-11508 Pulse Connect Secure: 9.0RX 8.3RX 8.2RX 8.1RX
CVE-2019-11540 Pulse Connect Secure: 9.0RX 8.3RX 和 Pulse Policy Secure: 9.0RX 5.4RX
漏洞利用
https://github.com/projectzeroindia/CVE-2019-11510
参考以上shell脚本写的python版exp:
使用:python exp.py https://sslvpn.target.com/
请登录后查看回复内容