• XSS.stack #1 – первый литературный журнал от юзеров форума

[Forti] CVE-2024-55591 есть у кого рабочий сплойт?

Отслеживать
grupenfurer сказал(а):
тока чекер да вытягиватель логов.
Ну так, а что хотел? Сама уязвимость заключается в обходе аутентификации, с этим обходом ты и читаешь логи.

CVE-2024-55591: Fortinet Authentication Bypass Zero-Day Vulnerability Exploited in the Wild

Fortinet patched a zero day authentication bypass vulnerability in FortiOS and FortiProxy that has been actively exploited in the wild as a zero-day since November 2024.
www.tenable.com
 
Эрмано сказал(а):
Ну так, а что хотел? Сама уязвимость заключается в обходе аутентификации, с этим обходом ты и читаешь логи.

CVE-2024-55591: Fortinet Authentication Bypass Zero-Day Vulnerability Exploited in the Wild

Fortinet patched a zero day authentication bypass vulnerability in FortiOS and FortiProxy that has been actively exploited in the wild as a zero-day since November 2024.
www.tenable.com
хотел полноценный експ, с получением оболочки
 
Эрмано сказал(а):
Так это не RCE уязвимость
обойдя аутентификацию можно например ключ ссш свой залить или хотя бы бэкап кофига слить
 
grupenfurer сказал(а):
обойдя аутентификацию можно например ключ ссш свой залить или хотя бы бэкап кофига слить
Ты саму уязвимость понял? Как ты свой SSH ключ зальёшь? Бекап конфига можешь слить, это можно в эксплойте(который логи читает) отредачить
 
Пожалуйста, обратите внимание, что пользователь заблокирован
ssh ключ можно залить, только накуй оно надо, если ты можешь вытянуть весь конфиг фортика и дехешнуть пароли впн-юзеров. Технически веб-консоль работает на этих веб-сокетах, и там всё тоже самое, только формат немного другой, как у интегрити360 описано
  • type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"
cve-2022-40684 в помощь.

ps: в личку и токс мне не пишите, я не продаю это, и не консультирую. Спасибо
 
Последнее редактирование:
Ходит слух, что можно CMD открыть , а там уже создавай и добавляй юзеров в впн группы.
barnaul сказал(а):
ssh ключ можно залить, только накуй оно надо, если ты можешь вытянуть весь конфиг фортика и дехешнуть пароли впн-юзеров. Технически веб-консоль работает на этих веб-сокетах, и там всё тоже самое, только формат немного другой, как у интегрити360 описано

cve-2022-40684 в помощь.
 
robomusk сказал(а):
Ходит слух, что можно CMD открыть , а там уже создавай и добавляй юзеров в впн группы.
а cmd откроет прям на ДК или на пк бухгалтера?
Какая связь между кмд и фортиком, я что-то не могу понять.
 
Che сказал(а):
а cmd откроет прям на ДК или на пк бухгалтера?
Какая связь между кмд и фортиком, я что-то не могу понять.
Никакой, barnaul отписал ж что можно сделать

 
Пожалуйста, обратите внимание, что пользователь заблокирован
Che сказал(а):
а cmd откроет прям на ДК или на пк бухгалтера?
Какая связь между кмд и фортиком, я что-то не могу понять.
Не cmd ОС, а именно форти, для работы с их конфигом.

Untitled.png
 
Последнее редактирование:
barnaul сказал(а):
ssh ключ можно залить, только накуй оно надо, если ты можешь вытянуть весь конфиг фортика и дехешнуть пароли впн-юзеров. Технически веб-консоль работает на этих веб-сокетах, и там всё тоже самое, только формат немного другой, как у интегрити360 описано

cve-2022-40684 в помощь.

ps: в личку и токс мне не пишите, я не продаю это, и не консультирую. Спасибо
Бро. мне кажется, мы с тобой по cve-2022-40684 как раз общались, пару лет назад, но ты был под другим ником, потом связь прервалась...
 
weaver сказал(а):
Эта тема создана чтобы обсуждать бинарные уязвимости, эксплуатация, разработка итд. Если ищите исполнителя вам прямая дорога в коммерческий раздел.
Понял, спасибо. Тогда может быть это будет ближе к делу. CVE 2024-55591
Я установил Forti с версией 7.0.16 и перехватил все веб-трафики: http & Websockets, но ничего не могу найти, я работаю над этим.

Моя проблема вот в чем:
когда я посылаю запрос на открытие командной консоли, отправляю этот запрос:

Код: 
GET /ws/cli/open?cols=167&rows=40 HTTP/2
Host: 172.16.16.36
Pragma: no-cache
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
Upgrade: websocket
Origin: https://172.16.16.36
Sec-Websocket-Version: 13
Accept-Encoding: gzip, deflate, br
Accept-Language: en,es;q=0.9
Cookie: APSCOOKIE_10657320331333355395="Era%3D0%26Payload%3DTs2aqN4pDLAAYBL7mX7mOw28ilLFRbIqKsdJhvkwls70vLE3CajWMTUMI1cp1uYF%0AsEFu1OkXHmybIolHz2AbAhNQcr7lG6IYUNLauxGGw0oKPaLBaaI+N7Qx2nbg%2Fgrf%0A%26AuthHash%3DC+d7WTUhaqp5PcDlzso97vWglAQ%3D%0A"; ccsrftoken_10657320331333355395="80829CFDAC732166F8CE74F7D9BED98"; FILE_DOWNLOADING_10657320331333355395="1"
Sec-Websocket-Key: E/ondM1ZxfTvCI2tJG3wWA==

и затем этот запрос обновляется до websocket, и когда я делаю это с poc, который загрузили на github, и меняю путь с /ws/events на /ws/cli/open, это не работает, и когда я посылаю команду типа show Close The Connection
 
Последнее редактирование модератором:
Пожалуйста, обратите внимание, что пользователь заблокирован
grupenfurer сказал(а):
Бро. мне кажется, мы с тобой по cve-2022-40684 как раз общались, пару лет назад, но ты был под другим ником, потом связь прервалась...
Не исключено
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Для версий 6.0.0. - 7.4.4
Python: 
from Crypto.Cipher import AES
from base64 import b64decode


def decrypt(pwd_hash: str) -> str:
    key = b'Mary had a littl'
    enc = 'unicode_escape'

    pwd_bytes = b64decode(pwd_hash)
    iv = pwd_bytes[0:4] + b'\x00' * 12
    end = pwd_bytes[4:]
    cipher = AES.new(
        key,
        iv=iv,
        mode=AES.MODE_CBC
    )
    pwd = cipher.decrypt(end).decode(enc)
    return pwd.split('\x00')[0]

Это твоё, судя по всему? https://github.com/robomusk52/exp-cmd-add-admin-vpn-CVE-2024-55591
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
Там треш какой-то. Он собрал два экспа из паблика, налепил фейковых скринов якобы с его рабочим экспом, добавил ссылку на satoshidisk, и в Issues сам собой переписывается https://github.com/robomusk52/exp-cmd-add-admin-vpn-CVE-2024-55591/issues/3 (его мульт HellYeah1996). Сам себе отвечает моей цитатой из этой темы
You can pull the whole fortik config and dehash the passwords of the vpn-users. Technically the web console runs on these web sockets, and everything is the same there, just the format is a bit different, like integrity360 describes
cve-2022-40684 to help. If it works, let me know, it would be nice if I could help someone.
barnaul сказал(а):
ты можешь вытянуть весь конфиг фортика и дехешнуть пароли впн-юзеров. Технически веб-консоль работает на этих веб-сокетах, и там всё тоже самое, только формат немного другой, как у интегрити360 описано
 
Balora19 сказал(а):
Так и не понятно, этот фортик же уже отжали, там вроде как у вотчтавера полноценный пок вышел,но все почему то сорцы ищут или вопросы задают, или там тоже не рабочий?
кстати этот чел robomusk продал 5из5 на сатоши))))
ну нормально накидал - а главное даже блек не предъявишь кстати вообще гитхаб + сатошидиск = 99% кидок
 
Balora19 сказал(а):
Тишина. Значит стоит))) Все смотрю до дрожи боятся соседей 🤣
40 уязвимых в юсе, которые уже отрабатывают. Нет смысла
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх