漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-058788
漏洞标题:网康NS-ASG应用安全网关注入漏洞(可爆出管理员明文密码进行登录)
相关厂商:北京网康科技有限公司
漏洞作者: Tea
提交时间:2014-04-28 17:19
修复时间:2014-07-27 17:20
公开时间:2014-07-27 17:20
漏洞类型:非授权访问
危害等级:高
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-28: 细节已通知厂商并且等待厂商处理中
2014-05-02: 厂商已经确认,细节仅向厂商公开
2014-05-05: 细节向第三方安全合作伙伴开放
2014-06-26: 细节向核心白帽子及相关领域专家公开
2014-07-06: 细节向普通白帽子公开
2014-07-16: 细节向实习白帽子公开
2014-07-27: 细节向公众公开
简要描述:
在继续 http://www.wooyun.org/bugs/wooyun-2013-044802 漏洞修补以后发现还存在一个SQL注入漏洞,不清楚是新出现的还是以前就存在的。
详细说明:
影响
网康 NS-ASG 6.2
网康 NS-ASG 6.3
测试地址:
https://202.113.WW.CC/vpnweb/index.php?para=index
https://115.24.ZZ.SS/vpnweb/index.php?para=index
https://202.113.WW.YY/vpnweb/index.php?para=index
互联网搜寻,这打码法,莫怪。
上个补丁以后,已经不能注入了。
但是通过抓包,发现登录的包为入下:
POST:
check_username1参数:
搞清楚了转义了..
单引号进去会转义
'==>\'
"==>\"
\==>\\
(这里乌云会自己多转...)
然后,单引号双引号被替换为空(吃掉),留下一个转义符,把最后结尾的闭合给注释掉,又如下,遗留一个反斜杠,导致SQL语句出错。
进数据库会报错,闭合不了前面的单引号。。
但是,check_VirtualSiteId这个参数为数字型的,无需闭合,所以,漏洞产生,可以利用了。
另外还有个XSS漏洞:/userpasswd.php?c=Jz48c2NyaXB0PmFsZXJ0KC94c3MvKTwvc2NyaXB0Pjwn
漏洞证明:
查询帐号密码:
POST:
查询其他信息:
POST:
居然是明文密码,直接登录进去了。。。
修复方案:
屏蔽错误报告?
数字型的肯定强制转换。。。
版权声明:转载请注明来源 Tea@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-05-02 21:55
厂商回复:
CNVD根据图片先行确认测试情况(目前手工测试暂未有其他实例),已经先行将漏洞信息转报给设备生产厂商——网康公司。根据生产厂商2日最新反馈情况,厂商已经着手查找用户列表进行修复,同时已经发布ASG6.3 Patch2补丁,建议用户向软生产厂产寻求补丁及解决方案。
最新状态:
暂无