当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(60) 关注此漏洞

缺陷编号: WooYun-2016-169077

漏洞标题: 网神旧版VPN系统GETSHELL(同时影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备)

相关厂商: 网神信息技术(北京)股份有限公司

漏洞作者: Angle_G认证白帽子

提交时间: 2016-01-11 14:17

公开时间: 2016-04-11 16:08

漏洞类型: 文件上传导致任意代码执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

14人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-11: 细节已通知厂商并且等待厂商处理中
2016-01-13: 厂商已经确认,细节仅向厂商公开
2016-01-16: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-08: 细节向核心白帽子及相关领域专家公开
2016-03-18: 细节向普通白帽子公开
2016-03-28: 细节向实习白帽子公开
2016-04-11: 细节向公众公开

简要描述:

RT

详细说明:

在文件 /admin/system/backup_action.php

code 区域
<?php
if (isset($_REQUEST['cmd']))
$cmd = $_REQUEST['cmd'];
else
$cmd = "NULL";

$with_cert = 1;
$pass = "";

include_once "management/system.php";

if ($cmd == $LANG_IMPORT) {
if ($_FILES['userfile']) {
$file_size = $_FILES['userfile']['size'];
$file_type = $_FILES['userfile']['type'];

$temp_name = $_FILES['userfile']['tmp_name'];
$file_name = $_FILES['userfile']['name'];
$file_name = str_replace("\\","",$file_name);
$file_name = str_replace("'","",$file_name);
$file_name = str_replace(" ","",$file_name);

$file_path = $CFG_UPLOAD_PATH."__im_data__.bin";

//File Name Check
if ( $file_name == "" ) {
echo "Invalid File Name Specified";
return;
}

$result = move_uploaded_file($temp_name, $file_path);
chmod($file_path, 0777);
} else {
$msg = "no upload file\n";
include "include/error.php";
return;
}

if (isset($_POST['pass_import']))
$pass = $_POST['pass_import'];
$SM = new SystemManager;
$msg = $SM->Import_Export($ticket, $pass, 1, 0);
if ($msg == "OK")
$msg = $RESTART_MSG;
include "include/error.php";
return;
}

if ($cmd == $LANG_EXPORT) {
if (isset($_POST['pass_export']))
$pass = $_POST['pass_export'];
$SM = new SystemManager;
$V = $SM->Import_Export($ticket, $pass, 2, $with_cert);
$file_name = "/data/upload/__ex_data__.bin";
/*
header("Pragma: ");
header("Cache-Control: ");
header("Content-type: application/octet-stream");
header("Content-Length: ".filesize($file_name));
header("Content-Disposition: attachment; filename=\"sysbackup.bin\"");
readfile($file_name);
unlink($file_name);
*/
}
?>



code 区域
$result = move_uploaded_file($temp_name, $file_path);



$file_path 可控

code 区域
$file_path = $CFG_UPLOAD_PATH."__im_data__.bin";

%00 截断 存在任意文件上传!!



EXP:丢到测试代码里了!

漏洞证明:

案例:证明漏洞存在 直接传了info,exp在测试代码里面

**.**.**.**/

**.**.**.**/admin/system/11.php

QQ截图20160111133947.png





https://**.**.**.**/welcome_pop.php

https://**.**.**.**/admin/system/11.php

QQ截图20160111135151.png





**.**.**.**/welcome_pop.php

**.**.**.**/admin/system/11.php

QQ截图20160111134707.png





https://**.**.**.**/welcome_pop.php 北京交通大学

https://**.**.**.**/admin/system/11.php

QQ截图20160111135424.png





https://**.**.**.**/welcome_pop.php 安徽财政电子政务系统

https://**.**.**.**/admin/system/11.php

QQ截图20160111135605.png





都是是网神的哦,只是他有个功能能改页面中的logo,看箭头的小logo就是网神的标志:

QQ截图20160111135810.png





经过测试 影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备

修复方案:

!!!!

版权声明:转载请注明来源 Angle_G@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-01-13 10:15

厂商回复:

感谢白帽子提出的此漏洞,我们在收到信息后核实发现的确存在此问题,目前我们已针对此漏洞指定了相应的修复方案,并已开始对本次涉及的设备进行修复。请白帽子留下你的联系方式,我们将邮寄一份精美礼品以表示感谢。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):
登陆后才能进行评分
0%
0%
0%
0%
100%

评价

  1. 2016-01-11 15:47 | cuger ( 普通白帽子 | Rank:205 漏洞数:46 | 都说爱笑的人运气不会太差,废话,运气太差...)
    0

    V587

  2. 2016-04-14 16:15 | 1c3z ( 普通白帽子 | Rank:297 漏洞数:63 | @)!^)
    1

    $file_path = $CFG_UPLOAD_PATH."__im_data__.bin"; CFG_UPLOAD_PATH没出现,求教如何去控?

  3. 2016-04-14 18:23 | 紫梦芊 ( 普通白帽子 | Rank:138 漏洞数:9 | 踏踏实实做测试)
    1

登录后才能发表评论,请先 登录