WooYun.org

受YY-2012 WooYun-2015-95059的启发，对TerraMaster的NAS进行了一番研究，发现存在不少问题，在此一并列出，纯属学习研究性质，不妥之处敬请指正。

首先到TerraMaster的官方网站上下载一个大小为50M左右的固件升级文件update-2.374.bz2，对应型号是F4-NAS。

解压后发现网页部分位于/usr/www目录，但是php源码被加密，文件头部显示一个特殊的字符串\tspartacus\t，后面为随机乱码。

经查看发现该设备的php主程序位于/usr/sbin/php-cgi，对该程序进行反汇编后发现存在上述字符串，

根据周边的字符串信息，我们基本可以确认该设备采用php-screw对源码进行加密，到SourceForge上下载php-screw源代码，然后手动修改一下源代码即可将加密部分变成解密程序，编译后可用于php加密代码的解密。

有了明文源代码，就可以进行正常的代码审计工作了，在/usr/www/include/ajax/ajaxdata.php文件中，发现存在多处任意命令执行的隐患。

程序先将$_POST全局变量赋给局部变量$data，再逐一判断执行各个功能分支，流程部分如下

在scanwlan分支中

else if(isset($data['scanwlan']))

{

if($data['scanwlan'] == 0){

……

}else if($data['scanwlan'] == 1){

if($data['linkstat'] == 0){

……

}else if($data['linkstat'] == 1){

$cmd = "$_func_common && noontec_wirelssapdisconnect ".$data['wlanName']."";

$return = $root[wifi][linking]." ".$data['ssid']." ".$root[wifi][wifiSign];

shell_exec($cmd);

}

echo $return;

}

}

在scanwlan=1且linkstat=1时，$cmd变量在装配时带入了$data['wlanName']，此处变量由$_POST而来，用户可控且无过滤，可轻易引发下面shell_exec执行时的命令注入。



再如在SNMP分支中

else if(isset($data['SNMP']))//--------snmp stop---------

{

if($data['SNMP'] == 0){

……

}else if($data['SNMP'] == 1){

shell_exec("$_A00snmpd stop");

$command = "snmpdset 1 \"".$data['SNMPdata']."\"";

shell_exec($command);

和上面一样的原理，$data['SNMPdata']因用户可控且无过滤，轻易引发命令注入。



如上情况在整个ajaxdata.php中多处存在，这里就不一一列举，道理都是一样。