【漏洞复现】CVE-2024-0012 Palo Alto Networks PAN-OS 身份验证绕过漏洞可RCE

混子Hacker 混子Hacker 2024-11-19 17:26

---

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不承担任何法律及连带责任。

[ 
漏洞简介 
]

—— 
如果一个人使用侮辱性的字眼来骂你，并不能贬低你的人格。那只能让你看到骂你的人有多可悲，他的谩骂并不能伤害到你
 【
摘自《杀死一只知更鸟》
】 ——

PAN-OS

PAN-OS是由Palo Alto Networks公司开发的操作系统，旨在为企业网络提供全面的安全保护。该操作系统具有高度的可扩展性和灵活性，可以适应各种规模和类型的网络环境。PAN-OS集成了多种安全功能，包括防火墙、入侵检测和预防、虚拟专用网络等，可以有效地保护企业网络免受各种网络威胁的侵害。此外，PAN-OS还提供了直观易用的管理界面和强大的分析工具，帮助企业管理员更好地管理和保护网络。该组件存在认证绕过漏洞并导致RCE

目前受影响的Palo Alto Networks PAN-OS版本：

PAN-OS 10.2 < 10.2.12-h2PAN-OS 11.0 < 11.0.6-h1PAN-OS 11.1 < 11.1.5-h1PAN-OS 11.2 < 11.2.4-h1

漏洞信息

混子Hacker

01

资产测绘

fofa: icon_hash="873381299"

混子Hacker**

02

漏洞复现

首先创建一个session，user指定为执行的命令

带上返回的cookie访问触发命令执行

dnslog平台成功接收访问结果

混子Hacker**

03

Poc

POC从公众号后台回复CVE-2024-0012获取
再次忠告大家一定不要使用POC进行破坏

<<<  
END 

原创文章｜转载请附上原文出处链接

更多漏洞｜关注作者查看

作者｜混子Hacker