GIT-SHELL 沙盒绕过（CVE-2017-8386）

GIT-SHELL 沙盒绕过（CVE-2017-8386）导致任意文件读取、可能的任意命令执行漏洞。

参考链接：

• https://insinuator.net/2017/05/git-shell-bypass-by-abusing-less-cve-2017-8386/
• https://www.leavesongs.com/PENETRATION/git-shell-cve-2017-8386.html

GhostScript 沙箱绕过（命令执行）漏洞（CVE-2019-6116）

2019年1月23日晚，Artifex官方在ghostscriptf的master分支上提交合并了多达6处的修复。旨在修复 CVE-2019-6116 漏洞，该漏洞由 Google 安全研究员 Tavis 于2018年12月3日提交。该漏洞可以直接绕过 ghostscript 的安全沙箱，导致攻击者可以执行任意命令/读取任意文件。

GhostScript 被许多图片处理库所使用，如 ImageMagick、Python PIL 等，默认情况下这些库会根据图片的内容将其分发给不同的处理方法，其中就包括 GhostScript。

参考链接：

• https://bugs.chromium.org/p/project-zero/issues/detail?id=1729&desc=2
• https://www.anquanke.com/post/id/170255

GhostScript 沙箱绕过（命令执行）漏洞（CVE-2018-19475）

2018年底来自Semmle Security Research Team的Man Yue Mo发表了CVE-2018-16509漏洞的变体CVE-2018-19475，可以通过一个恶意图片绕过GhostScript的沙盒，进而在9.26以前版本的gs中执行任意命令。

参考链接：

• https://blog.semmle.com/ghostscript-CVE-2018-19475/
• https://bugs.ghostscript.com/show_bug.cgi?id=700153

GhostScript 沙箱绕过（命令执行）漏洞（CVE-2018-16509）

8 月 21 号，Tavis Ormandy 通过公开邮件列表，再次指出 GhostScript 的安全沙箱可以被绕过，通过构造恶意的图片内容，将可以造成命令执行、文件读取、文件删除等漏洞：

• http://seclists.org/oss-sec/2018/q3/142
• https://bugs.chromium.org/p/project-zero/issues/detail?id=1640

GhostScript 被许多图片处理库所使用，如 ImageMagick、Python PIL 等，默认情况下这些库会根据图片的内容将其分发给不同的处理方法，其中就包括 GhostScript。

Apache Flink jobmanager/logs 路径遍历 (CVE-2020-17519)

Apache Flink 是一个开源的流处理框架，具有强大的流处理和批处理能力。

Apache Flink 1.11.0 中引入的更改（以及在 1.11.1 和 1.11.2 中发布）允许攻击者通过 JobManager 进程的 REST 接口读取 JobManager 本地文件系统上的任何文件。

参考：

• https://github.com/apache/flink/commit/b561010b0ee741543c3953306037f00d7a9f0801
• https://nvd.nist.gov/vuln/detail/CVE-2020-17519

Apache Flink 上传路径遍历 (CVE-2020-17518)

Apache Flink 是一个开源的流处理框架，具有强大的流处理和批处理能力。

Apache Flink 1.5.1 引入了 REST 处理程序，允许您通过恶意修改的 HTTP HEADER 将上传的文件写入本地文件系统上的任意位置。

参考：

• https://github.com/apache/flink/commit/a5264a6f41524afe8ceadf1d8ddc8c80f323ebc4
• https://nvd.nist.gov/vuln/detail/CVE-2020-17518

Flask（Jinja2） 服务端模板注入漏洞

参考文章：

• https://www.blackhat.com/docs/us-15/materials/us-15-Kettle-Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
• http://rickgray.me/use-python-features-to-execute-arbitrary-codes-in-jinja2-templates

漏洞复现

访问http://192.168.44.132/?name=49，得到49，说明SSTI漏洞存在。

获取eval函数并执行任意python代码的POC：

fastjson 1.2.24 反序列化导致任意命令执行漏洞

fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。

Fastjson 1.2.47 远程命令执行漏洞

Fastjson是阿里巴巴公司开源的一款json解析器，其性能优越，被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。

Elasticsearch写入webshell漏洞（WooYun-2015-110216）

参考文章： http://cb.drops.wiki/bugs/wooyun-2015-0110216.html

ElasticSearch具有备份数据的功能，用户可以传入一个路径，让其将数据备份到该路径下，且文件名和后缀都可控。

所以，如果同文件系统下还跑着其他服务，如Tomcat、PHP等，我们可以利用ElasticSearch的备份功能写入一个webshell。