漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0194106
漏洞标题:某防火墙无需登录命令执行多处
相关厂商:博华网龙
漏洞作者: 路人甲
提交时间:2016-04-09 11:25
修复时间:2016-07-10 09:20
公开时间:2016-07-10 09:20
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-04-09: 细节已通知厂商并且等待厂商处理中
2016-04-11: 厂商已经确认,细节仅向厂商公开
2016-04-14: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2016-06-05: 细节向核心白帽子及相关领域专家公开
2016-06-15: 细节向普通白帽子公开
2016-06-25: 细节向实习白帽子公开
2016-07-10: 细节向公众公开
简要描述:
博华网龙防火墙前台命令执行
其实防火墙跟一体机的代码是不一样的,看了别人漏洞有个frame.php,试了一下 防火墙没有这页面
详细说明:
先来看看验证登陆的函数:
直接return 没有exit
在看看现实文件中怎么用的
return一下。。完全没影响。。。。无论return的是什么。。无所谓
所以没有其他特殊认证的文件,就可以未登录访问了
第1: cmd.php 多处
GET中多个变量拼接入了system命令
第2:
ip_status.php
filename变量是从外部GET获取的 命令执行
第3:
ip_status.php
外部GET的key传入了命令
第4:
function getTotal($subnet)
{
$filename = "/proc/net/ip_traffic/".str_replace("/", "-", $subnet);
exec("wc -l $filename", $output, $result);
$opt = explode("/", $output[0]);
return $opt[0];
}
$subnet变量外部可控,导致同样带入了exec,命令执行
漏洞证明:
直接把ifconfig写入了1.txt
这东西网上很多,用oshadan搜到了很多,从第一个开始按顺序打了十几个
**.**.**.**//diagnostics/1.txt
**.**.**.**/diagnostics/1.txt
**.**.**.**/diagnostics/1.txt
**.**.**.**/diagnostics/1.txt
**.**.**.**/diagnostics/1.txt
**.**.**.**/diagnostics/1.txt
https://**.**.**.**/diagnostics/1.txt
**.**.**.**/diagnostics/1.txt
**.**.**.**/diagnostics/1.txt
**.**.**.**/diagnostics/1.txt
**.**.**.**/diagnostics/1.txt
**.**.**.**/diagnostics/1.txt
修复方案:
escape
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2016-04-11 09:13
厂商回复:
感谢提交漏洞,我们将尽快处理此问题。
最新状态:
暂无