WooYun.org

接上一枚
WooYun: 江南科友堡垒机全版本getshell（无需登录）
漏洞涉及客户如下：
国内各大银行：中国银行、民生银行、广东发展银行、平安银行、深圳发展银行、浦发银行、渤海银行总行及各分行、中国工商银行、中国农业银行、中国建设银行、交通银行、招商银行、中信银行、兴业银行、华夏银行、中国邮政储蓄银行总行或部分分行
中国银联：总公司及北京、广州、深圳、南京、福州、长沙、武汉、济南、青岛、沈阳、郑州、海口、天津、香港、厦门等分公司
银联数据：全国卡系统业务托管商业银行
外资银行：渣打银行、东亚银行：全国境内各个分行
外资金融机构：韩亚银行、花旗银行、通用电气、星展银行、美国第一资讯（FDC)
地方商业银行及农村信用社：40余家商业银行及农村信用社
社会保障与公共交通系统：湖北、黑龙江、广东、北京等社保卡安全系统，上海市公交一卡通安全系统，杭州市市民卡系统，长春一汽企业IC卡加密系统，宁波市民卡系统，郑州交通一卡通系统，山东一卡通系统
....
这是一个官方做的一个统计，在日常工作当中，在很多能源单位以及金融单位经常见江南科友堡垒机。。所以影响范围就不说了。
看分析吧
0x01 反射型xss
在rdplogout.php中

</script>	
<body>
	
	<div align="center">
		<font color="red" >
			资源
			<?php
			echo $_GET['res_name'];  //直接输出，产生xss
			?>
		的远程连接已经退出
		</font>
	</div>

链接如下：
https://1.1.1.1/rdplogout.php?res_name=<script>alert(222)</script>

0x02 越权、信息泄露(物理路径）
https://1.1.1.1/system/ADD_VDH_Protocl.php
代码就不分析了。没有任何权限验证，导致可以随意增加协议相关信息

https://1.1.1.1/system/download_cert.php?down_cret=1

0x03 通杀SQL注入漏洞
在system/download_cert.php当中31行处

if(isset($_GET['manager']) && isset($_GET['user_id']) && isset($_GET['cert_psw']))
	{
		$db = new SystemDB();
	
		$cert_msg = $db->getCertById('',$_GET['user_id'],$_GET['manager']);
		
		if(!empty($cert_msg))
		{

我们跟踪下getCertById 方法

public function getCertById($id=null,$user_id=null,$userflag=null) 
    {
    	try 
    	{
    		if(!empty($id) && empty($user_id))
    			$sql = "select * from cert where id = ".$id;
    		else if(empty($id) && !empty($user_id))
    		{
    			$sql = "select * from cert where user_id=".$user_id." and userflag=".$userflag;	
    		}
    		//echo $sql;
    		$stmt = $this->dbh->prepare($sql);
    		$stmt->execute();

当$id 不为空 和$user_id为空的情况下 执行 "select * from cert where id = ".$id;
其中$id 有过滤吗？没，所以直接注，并且它有显错模式如图
https://1.x.x.98/system/download_cert.php?user_id=2&cert_psw=3&manager=1

堡垒机相信大家都懂，不懂的自己百度吧
堡垒机上面的内网机器就不去鼓捣了。。。
我们控制了它，相当于控制了内网的所有主机了。。。。