当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0122337

漏洞标题:锐捷EG易网关guest越权,可执行任意命令,通过vpn直接渗透内网

相关厂商:ruijie.com.cn

漏洞作者: 纳米翡翠

提交时间:2015-06-23 19:17

修复时间:2015-06-25 11:12

公开时间:2015-06-25 11:12

漏洞类型:命令执行

危害等级:高

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-23: 细节已通知厂商并且等待厂商处理中
2015-06-24: 厂商已经确认,细节仅向厂商公开
2015-06-25: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

最近看到锐捷关于rsr npe的漏洞
正好身边有人使用锐捷的产品,但是个EG网关,借过来研究了一下发现问题同样出现在锐捷的EG网关上,而且发现尽然存在任意命令执行

详细说明:

漏洞证明:

1.百度搜索:“请输入您的RG-EG易网关的用户名和密码”

QQ截图20150623184620.png


QQ截图20150623184634.png


QQ截图20150623184801.png


QQ截图20150623184808.png


QQ截图20150623184815.png


2,找了一个登录抓包

QQ截图20150623180345.png


QQ截图20150623180427.png


发现参数很有意思
command=执行的命令
strurl=应该是当前的运行模式挖掘后发现有exec config等
mode=priv_exec直接特权模式
3.于是show run一下

QQ截图20150623180613.png


注意到这里有一个webmaster level 0 1 2
通过了解0的级别是最高的,也就是权限是最好的,1和2 依次减低
那我是否可以直接通过执行
webmaster level 0 username guest password guest来提升权限呢?试一下

QQ截图20150623182116.png


把strurl改成config即可执行成功
如此说来我就可以直接执行所有的命令啦,但没必要这么麻烦了。再查看show run最下面发下有telnet的密码信息

QQ截图20150623183023.png


于是直接telnet进来了

QQ截图20150623183113.png


然后嘛,就是配置一个vpn,直接内网漫游了

QQ截图20150623190820.png


好吧,我是好孩子,配置已经还原了
试了百度搜索出来的十来个链接,发现弱口令都有
http://www.jincai.sh.cn:12315/index.htm
http://jsgz.cn/
http://xczp.qhrcsc.com
http://lbszx.com
http://www.zmjsjt.cn
http://wcjy.zhjedu.cn/index.htm
http://www.lflszx.com
http://www.jyxqxx.com:88/index.htm
http://www.lvtaotao.com
http://oa.haotel.com
http://www.tzcgps.cn/index.htm
百度那么多没敢一个一个试
话说我看到其它漏洞,厂商回复已经做了补丁,但这些还在受害的用户,明显他们还不知道该问题,那该怎么办?
对了,话说最近看到锐捷发了一个新网关产品 eg350,看链接好像web是用的php的,通过挖掘已经发现部分漏洞,版本号(EG_RGOS 11.1(3)B1T3, Release(02162111)),但不知道是不是厂商的遗留版本,如果不是请告知,我会补出来,如果是那就忽略吧。

修复方案:

版权声明:转载请注明来源 纳米翡翠@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-06-24 09:42

厂商回复:

最新状态:

2015-06-25:设备软件版本升级到最新版本即可解决此问题。

2015-06-25:设备软件版本升级到最新版本即可解决此问题