多款Intel產品未授權訪問漏洞(CVE-2017-5689)
- 漏洞簡介
- 漏洞描述
英特爾通過其 vPro 商務處理器平臺提供了 IntelActive Management Technology(AMT)技術,這項技術能讓IT管理人員遠端管理和修復PC、工作站和伺服器。
這項預設的功能使用基於Web的控制頁面,通過遠端埠16992和16993讓管理員遠端管理系統。為防止功能被未授權的使用者濫用,AMT服務會使用HTTP摘要認證和Kerberos驗證機制。許可權提升漏洞出現在web控制介面的認證使用者環節。
-
- 影響範圍
第一代 Core family: 6.2.61.3535
第二代 Core family: 7.1.91.3272
第三代Core family: 8.1.71.3608
第四代Core family: 9.1.41.3024 and 9.5.61.3012
第五代Core family: 10.0.55.3000
第六代Core family: 11.0.25.3001
第七代Core family: 11.6.27.3264
-
- 漏洞原理
-
- 環境搭建
在fofa、shodan等平臺上搜尋 port:16992,選擇測試目標
1、使用者發起登入請求,伺服器給予響應(nonce、http方法和請求的URL),隨即,使用者在登入介面輸入使用者名稱、密碼,客戶端傳送字串(user_response),該字串是由使用者名稱、密碼、nonce值、http方法以及請求的url生成的hash值。
2、伺服器端也會通過資料庫中的使用者名稱密碼計算一個類似的加密字串(computed_response)。伺服器使用strncmp()函式對兩個字串進行比較,如果二者相符就會讓使用者登陸Intel AMT Web介面。
3、Intel AMT漏洞的出現就是由於呼叫了strncmp()函式:
if(strncmp(computed_response,user_response, response_length)) exit(0x99);
在此函式中,對user_response和computed_response的值進行比較,要認證成功,變數user_response的值必須等於computed_response,因此無論長度如何,strncmp()函式的返回值必須為0,方表示驗證成功。
但是寫這段程式碼的程式設計師錯把本應是computed_response的長度寫成了user_response的長度,放到了strcmp()函式中。
4、因此,將user_response值清空,即傳送空響應,將沒有位元組被檢查,strncmp()返回零,表明驗證成功。因而,空的響應字串被認為有效而被執行,從而繞過密碼核實機制,登入管理介面。
-
- 開始驗證
選擇一個測試目標:
嘗試登陸,輸入使用者名稱密碼admin/admin,並開啟burpsuite抓包
然後,清空response的值,並點選forward放過抓包,便可以以管理員許可權登陸intel amt web介面
接下來,點選User Accounts,繼續開啟抓包,並清空response值後forward
成功跳轉至使用者修改介面,可以選擇修改admin密碼,或者刪除使用者,新增新使用者等,這裡以新增新使用者做演示,目前的操作都需要經過抓包清空response值再放過才可以
點選New,繼續抓包清空response再forward
可以隨意建立一個使用者,設定許可權,輸入密碼,強度需要高一些
繼續抓包清空response再forward
接下來便可以用剛建立的使用者登陸
復現成功
關閉amt服務,升級韌體
後期利用:
可以下載ManageabilityDeveloperToolKit,它是intel amt 管理工具,官網連結如下:
下載後,點選Manageability Automation Tool
右鍵點選新增主機,輸入主機ip,新增的使用者名稱和密碼
可以右鍵Manager Computer
等待連線,然後便可以對目標主機進行遠端操作等
宣告:僅做驗證,未非法訪問資料,且該測試目標為外網主機。
相關文章
- Redis未授權訪問漏洞利用總結Redis
- 銘說 | Redis未授權訪問漏洞GetshellRedis
- 利用redis未授權訪問漏洞(windows版)RedisWindows
- 系統滲透漏洞の未授權訪問
- JBOSS未授權訪問
- Java安全漏洞:Druid未授權訪問解決JavaUI
- Redis v6.0.5未授權訪問漏洞復現Redis
- Linux sudo 漏洞可能導致未經授權的特權訪問Linux
- 利用CouchDB未授權訪問漏洞執行任意系統命令
- Druid未授權訪問實戰利用UI
- 從零開始學習各種常見未授權訪問漏洞
- spark未授權RCE漏洞Spark
- SaltStack未授權訪問及命令執行漏洞分析(CVE-2020-16846/25592)
- Etcd REST API 未授權訪問漏洞暴露 750MB 密碼和金鑰RESTAPI密碼
- Redis未授權漏洞復現Redis
- 記一次特別的未授權訪問
- 【雲原生攻防研究】Istio訪問授權再曝高危漏洞
- CVE-2021-45232 Apache APISIX 從未授權訪問到RCEApacheAPI
- Hadoop Yarn REST API未授權漏洞利用挖礦分析HadoopYarnRESTAPI
- pgAdmin未授權命令執行漏洞(CVE-2022-4223)
- mysql8.0授權root遠端訪問MySql
- Flipboard 資料庫未經授權訪問使用者賬號密碼洩露資料庫密碼
- cve-2019-11581 Atlassian Jira未授權服務端模板注入漏洞服務端
- MyEclipse2017新增github連線未授權問題EclipseGithub
- 偶然發現的bug————越權訪問漏洞追溯
- [BUG反饋]許可權管理 -> 訪問授權 點選後報錯
- kubernetes 原始碼安裝1.18.3 (8)授權 apiserver 訪問 kubelet原始碼APIServer
- [BUG反饋]分類授權漏洞
- 認為頭條系產品未經授權直播遊戲,騰訊向法院申請遊戲禁令遊戲
- [譯] 數字產品為人們授權的時代已來
- SSRF結合Redis未授權的打法Redis
- 瞭解如何使用JSON Web令牌(JWT)實現訪問授權驗證JSONWebJWT
- shell給授權檔案新增私鑰並修改訪問修改時間
- 容器編排系統K8s之訪問控制--RBAC授權K8S
- php反序列化和redis未授權PHPRedis
- 阿里雲安全組規則授權物件設定為固定IP段訪問阿里物件
- golang對接阿里雲私有Bucket上傳圖片、授權訪問圖片Golang阿里
- 2019全球授權展·中國站開展在即,匯聚全品類IP促進中國授權產業鏈發展產業