记一次不一样的应急响应

免责声明

本公众号所发布的文章及工具只限交流学习，本公众号不承担任何责任！如有侵权，请告知我们立即删除。

前言

这次的应急响应完全是意外，有个公司的名字和我所在的公司名字很接近，客户打电话到我们这了，也是本着有项目机会的想法，指派我对其进行应急响应。

这次应急响应也是有点特殊之处，特此记下分享给大家。

客户不知道设备密码

本次应急响应是客户单位被网信办通报有命令执行漏洞，网信办那边给如下地址，说是该地址存在命令执行漏洞。

http://xx.xx.xx.xxx:9091/view/DBManage/Backup-Server-commit.php

联系客户客户说他们不知道9091端口是什么设备，也不知道互联网上有设备，我就去fofa上查了一下，发现9090端口有个设备，同时扫了一下开发端口，发现2222、9090、9091三个端口开放。

访问9091端口是404，然后访问9090端口是一台上网行为管理，看9090和9091端口设置的很近，猜测是不是客户以前设置网络不小心把9090端口这个设备的某个功能映射到9091端口了，于是就管客户要密码，可是客户说不知道密码在联系厂家。

这种情况第一次碰到，只能等呗，顺便等待期间好好查查其他地方。我也查了一下这个设备有没有网信办通报的这个目录，可惜没查到，所以还不能确定就是这台设备的问题。

一个惊喜

就在我到处闲逛的时候，发现了一个有趣的地方。

这个设备居然在html里写有账户名和密码的MD5值，好家伙，MD5解密成功后直接登录成功，也就不用等客户联系厂商了，和客户说我已经进来了就继续找问题了。

显然这是一个很久没管理的设备，各种设置基本都是出厂设置，查了一下这个密码好像就是这台设备的默认密码，又收获一个厂商设备的默认密码啊，一个好大的惊喜。

确认问题所在

点到这个报表中心的时候发现会跳转9091端口，这就基本确定网信办通报的就是这台设备存在命令执行漏洞了。

网信办既然能够扫描到，那说明这个设备的漏洞已经是Nday了，网上查了查却没查到，真晦气，看来要自己去复现了。

漏洞复现

在点页面找目录的途中发现了设置9091映射的地方，是reportor登录界面，reporter是这个设备的审计管理员。好家伙，第一次见审计管理员界面和超级管理员不是一个端口的。

尝试9091端口后加reporter目录，没有访问到，看来这个reporter的访问页面是个固定路径，直接上字典扫描，还好扫描成功，点击路径直接一个未授权访问，给我吓一跳。

各种办法试了，只有这一个路径有东西，可是这个路径进来基本什么都没有，既然这里未授权，那估计没有防御，猜测命令执行是不是可以通过修改数据包来复现，直接抓包，使用post型数据包检测语句执行whoami命令，并将执行结果保存到test.txt中

POST /guest_auth/guestIsUp.php
Content-Type: application/x-www-form-urlencoded
mac=1&ip=127.0.0.1|whoami > test.txt

访问访问/guest_auth/test.txt文件，获取当前服务器用户权限为ROOT，复现完成。

当然也可以直接把网信办所通报目录的文件考下来进行代码审计，这里成功我就不再费劲了，功成身退。

原文始发于微信公众号（浪飒sec）：记一次不一样的应急响应