佑友防火墙RCE漏洞挖掘（附带搜寻和武器利用化脚本思路）

    哈喽，哈喽，又见面啦各位亲爱的师傅们，本期由我带来一篇21年的小众防火墙佑友RCE漏洞复现流程以及脚本编写思路，出于我个人点到为止的目的这里不提供脚本。

    （温馨提示：在手工复现过程中尽量使用代理，如果要参考文章中的脚本那么请认真阅读步骤并且一定要使用代理！！！）

    还是利用Fofa ::: title=”佑友防火墙”：

    然后点击下载，将url粘贴在脚本文件夹中的Fofaurl.txt中，这里可以用fofa key直接上脚本爬也行。

    接着我们看一下弱口令检测原理，抓取登录点击登录按钮的数据包，查看数据格式：

    首先是通过POST方式提交的，然后数据接口和数据部分都有，除此之外，要注意的是，有些站点或者设备会对会话这个Cookie字段的值进行校验，但这里笔者验证了之后发现是没有做校验的，可以不加参数请求，后续如果有遇到业务系统校验会话cookie的情况，可以先观察同一次登录，访问登录页面和点击登录的数据包中的cookie是否变化，如果发生变化，那么就说明有可能是前端js代码动态生成的cookie，防御手段和uuid一样，这个时候需要js前端逆向获取生成cookie的js代码，并且在每一次请求中附带上生成的值，或者更简单一点，直接手动抓包改包，都省去了逆向烦恼，但是在碰到数据包加密的情况下，仍就要进行js逆向。

    好了，那如果cookie是不变的，大可以用之前的请求包中的数值，这里都不做校验，那么直接置空处理就好了，温馨提示，出于安全的考虑，后续脚本内容会繁琐，这边还是建议师傅们手动复现，因为直接用脚本构造请求数据包发起请求往往会忽略一些自身安全问题：

response = requests.post(url + "/index.php?c=user&a=ajax_save", verify=False, allow_redirects=False,
                         data=data, timeout=5, headers=header, proxies=proxy)

if response.json()["success"] == False:
    print(url+"不存在默认账户弱口令")
else:
    print(url+"存在弱口令账号！")

    

    （注意，该脚本只是简单演示构造相应请求数据包！！！）此时是使用请求登录包去发送请求，那么相应返回结果是成功的话，其实已经说明你拥有了登录状态，但是此时你是脚本扫描，且该防火墙对登录IP会有记录，所以请师傅们一定要魔法上网尝试，所以这里在扫描成功之后还需要构造退出包登录一下（除非你对你的代理地址很有信心），退出数据包格式如下：

    这里证实退出包需要Cookie字段和GET方式的接口即可，然后Cookie由于该防火墙从一个ip地址开始第一次请求时就是固定的，那么只要拿之前第一次请求登录页面的数据包中的Cookie字段加入即可：

    以上就是搜寻脚本的大概思路，接下来讲一下RCE漏洞的手工复现和武器化思路：

    登录系统：

    找到系统管理中的维护工具处，然后在输入框内输入127.0.0.1 |whoami，如果该漏洞未修复，则会进行展示，此处为其他文章复现成功截图:

    武器化脚本思路可以参考之前的XXL-JOB框架文章，这里的武器化方法可以添加在校验是否存在默认账号密码处，还是抓取数据包查看数据包提交格式：

    这里的功能点需要Cookie校验，后端中是Cookie和ip地址双重校验，这里提一下，所以我们的数据包构造就明朗了，然后可以加入一句话反弹shell：

    OK啦，点到为止，其实还有其他接口，但点到为止，这里就不多赘述了，然后也希望大家谅解本期不提供脚本，之前的文章也展示过类似的武器化脚本以及思路，大家可以参考自己编写，途中遇到问题请即时留言沟通，基础一般的师傅不建议使用脚本，手工复现抓包一下看一下流程就行了，有较强脚本基础的师傅可以尝试一下，但这两种都一定要魔法上网保护自己。

    渗透不魔法，麻瓜两行泪~

    那这次就拜托大家多多支持啦，我们还会对这个武器化系列的讲解做不断更新，还请大家多多关注！

那好了，这里是HexaGon六边形实验室，我们下次再见。

原文始发于微信公众号（探幽安全）：佑友防火墙RCE漏洞挖掘（附带搜寻和武器利用化脚本思路）