WooYun.org

漏洞详情（在wooyun-2014-082472基础上进行修改，剔除验证部严密的东西）
名称:锐捷网络RG-EG1000系列产品存在授权绕过缺陷
异常或问题描述：存在授权绕过读取敏感信息缺陷
涉及范围：至少波及RG-EG1000全系列产品，测试样本版本号 EG1000S RGOS 10.3(4b11)p1, Release(172818)
攻击途径：远程
攻击复杂度：低
攻击成本：低
机密性：完全地
完整性：完全地
可用性：完全得
名称:锐捷网络RG-EG1000系列产品存拒绝服务缺陷
异常或问题描述：设备审计日志失效 (拒绝服务)
涉及范围：至少波及RG-EG1000全系列产品，测试样本版本号 EG1000S RGOS 10.3(4b11)p1, Release(172818)
攻击途径：远程
攻击复杂度：低
攻击成本：低
机密性：完全地
完整性：完全地
可用性：完全得

RG-EG 授权绕过终结篇 笔者首先也复现了漏洞,看到厂商的回复 也以为最新版本可以解决问题 但是,介于YY-2012对厂商的质疑也引起了笔者对自己漏洞修复的关注,笔者从仓库里提出一个设备升级到最新版本进行漏洞复现,果然问题依旧,只不过利用难度变得更加了困难而已,但是通过一天的学习,笔者从乌云学会了漏洞挖掘和分析的方法,凭借的不只在是运气和鼠标,而不是像WooYun-2014-82299作者那样,只是神来之笔,灵感乍现. 测试目标系统版本号 RGOS 10.3(4b11)[路人甲批注：原文为RGOS 10.3(4b10)], 介于上次超威蓝猫XSS漏洞后 锐捷的确做出了很多改进,首先修补了几个漏洞,一切为群众所想,出了苹果及安智的APP,这些主动且亲民的做法都是值得肯定的,但是经查,问题依旧且出现更为严重的缺陷!! 首先一个厂商为了降低成本肯定在多个产品中使用一些可复用组件,这个无可厚非,但是一个组件出现问题可能危及全系列产品,所以希望厂商正视 这个没有杀灭的蚂蚁,千里之堤 依然在蚁穴威胁之下!!

//重新加载cache中的数据 //$('#ifdata')[0].contentWindow.location.reload(); $('#ifdata')[0].contentWindow.device = new ($('#ifdata')[0].contentWindow.Device)(); this.make(); }, pointTo : function (id) { if(!this._hasAuth(id)){ alert(Util.isZh ? '该页面不存在或当前用户无权限！':"This page does not exist or the current user without permission!"); return;

新版本作了一些修改如上 以防止疑似 YY2012的 授权绕过 而路人甲的授权绕过和YY2012的授权绕过疑似同属一个原因的不同方法论.但是问题的确依旧 首先无法在添加后门了。

auth.htm页面即便用超级管理员访问也会跳转到登陆页面或抛出错误. 但是 还是有蚂蚁 千里之堤依然会毁于蚁穴 首先建立一个最小权限用户 TEST

使用此权限登陆 权限小于GUEST 用户 所以更能说明问题

然后来个内网影射 影射到某服务器 这样操作 在登陆后的浏览器内 输入以下命令：

HTTP://路由器有效访问地址/nat_port.htm

[路人甲批注：和ABADDON 上一个版本复现的时候一样，作为这个设备的配置者这里的冲突决不是真的冲突而是厂商做了限制,厂商值得曾赞]

虽然看不到映射表 操作也失败了 不要气馁 下面更精彩 如果来个淘气的小孩 可能做点坏事 恢复出厂设置把

http://192.168.250.1/setsys_reset.htm

于是洞主所有业务和网站被拒绝服务了 呜呜
[路人甲批注：这里我们没点确定，因为复位了太麻烦，能否复位姑且扔到一边，看下面]
增强信息 这个功能比较实用贴心 看看能否非授权访问

http://52.33.74.74/setsys_strong.htm

失败 返回到登陆页面 接着琢磨
导出数据库 里面或有国家机密 甚至 导致家庭破裂的潜在威胁 哈哈

http://路由器有效地址/datedown_web.htm

[路人甲批注：这个问题处理得不彻底，不过通过Abaddon的方法已经无效,直觉告诉我还可绕过,但是这里不再赘述,因为这里还不算最核心的问题,扔到一边]
接下来我们干个真格的不绕弯子了 马上接触核心数据

代码setsys_backup.htm

[路人甲批注:这个是成立的,对于存在Guest和配置管理员弱口令的此设备 此设备防护性同虚设,另外此设备对帐户权限的管理也是形同虚设的了]

其实,走到这里已经被完全渗透,一切都是浮云了
[路人甲批注: 的确是浮云 正如某位资深白帽子对一次绕过漏洞的评价]
我们在折腾折腾 修改下密码把

http://192.168.1.1:5233/setsys_passw.htm

[这里Abaddon犯了个错误,经过反复验证,这里提交的数据无效,因为Abaddon把最小权限用户密码改成了超级用户的密码,造成了种错觉,其实这里提交的数据是不生效的,厂商值得称赞,Abaddon过于武断]

<img src="/upload/
网管协议 哈哈 核心汇聚 接入敏感信息多汇于此

http://路由器地址/snmp_server.htm

一切尽收眼底 如果银行的 的 赫赫 理论上可行 但是操作中失败 .
最后测试 重启操作

[路人甲评注: Abadon说成功了,或许上个版本真的成功了,但是,最新版本只是表面上重启了,重启指令并为真正执行]
所有授权绕过操作系统只显示登陆,设备审计中看不到具体操作,导致管理员也无法获知自己被修改了什么..."
一次针对最新版本 RG-EG1000系列产品且配置完备仅存在一个最低权限弱口令的设备的入侵演练 !! 还说啥 经查实 此系列设备最新版本 存在通用0DAY漏洞
设备审计日志缺陷

所有操作无审计日志
[路人甲批注:能成功绕过的真没有日志....存在通用0DAY漏洞,因为泄漏了配置,什么都是浮云了]