CVE-2017-6020 LAquis SCADA目录遍历漏洞复现


该漏洞为LAquis SCADA的目录遍历漏洞,它允许攻击者下载受害者主机上的任意文件。

影响范围

LAquis_SCADA 4.1.0.3237及之前版本

实验环境

靶机:Windows7 64位 SP1,LAquis 4.1.0.2385,192.168.227.131

攻击机:Kali Linux,192.168.227.128

靶机环境配置

1. 安装LAquis

所有选项均默认即可。

2. 开启漏洞服务

打开LAquis,不创建任何工程,点击左上角的Menu,选择open,然后打开软件自带的样例,在Your LAquis Path/Apls/Examples/ExemplosCLPs/MODBUS文件夹下,如下图。

打开后,点击Menu,在File一栏中选中WEB Server,启动webserver。

点击Activate WEB server,在弹出框选择“是”。

之后会自动弹出该页面。

远程访问http://靶机IP:1234,如果出现以下界面,则漏洞服务部署成功。

漏洞利用

脚本复制到/usr/share/metasploit-framework/modules/auxiliary/server/目录下,并重命名为laquis_directory_traversal.rb。非root可能没有权限。

然后打开msfconsole,使用此脚本进行漏洞利用(如果进入后提示无法加载该脚本,请检查一下脚本名字是否符合规范)。

reload_all
use exploit/windows/scada/LAquis_SCADA_cve_2017_6020
show options

我在reload_all时遇到了报错:

我推断是某个rb文件下的内容出错了,于是搜索“Kong”找到了Kong_gate_admin_api_rce.rb文件,将它移到了其他地方备份。然后再次打开msf,reload_all成功。

然后show options查看需要设置的参数,其中参数DEPTH和FILE的含义如下:

  • DEPTH: 到达基本目录的级别(也就是有多少个../),如果安装时未更改路径,默认就是向上跳转10级
  • FILE: 要下载的文件,和上面额度DEPTH参数结合组成完整的文件路径

我这里DEPTH默认,FILE设置为Users/Public/Documents/cve6020.txt(需要提前在对应目录下创建该文件)。

参数设置完成后,输入run开始攻击,结果如下:

前往/root/.msf4/loot/目录下查看该文件:

说明文件已经下载成功。之后就可以尝试着下载一些有价值的文件了。


文章作者: 恰醋
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 恰醋 !
评论
 上一篇
CVE-2020-1350 Windows Server DNS漏洞复现 CVE-2020-1350 Windows Server DNS漏洞复现
Windows DNS Server远程代码执行漏洞(CVE-2020-1350):未经身份验证的攻击者可通过向目标DNS服务器发送特制数据包从而目标系统上以本地SYSTEM账户权限执行任意代码。
2020-12-08
下一篇 
CVE-2020-25540 ThinkAdmin漏洞复现 CVE-2020-25540 ThinkAdmin漏洞复现
ThinkAdmin V6版本存在路径遍历漏洞,攻击者可利用该漏洞通过请求编码参数任意读取远程服务器上的文件
2020-11-19
  目录