当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(60) 关注此漏洞

缺陷编号: WooYun-2016-169077

漏洞标题: 网神旧版VPN系统GETSHELL(同时影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备)

相关厂商: 网神信息技术(北京)股份有限公司

漏洞作者: Angle_G认证白帽子

提交时间: 2016-01-11 14:17

公开时间: 2016-04-11 16:08

漏洞类型: 文件上传导致任意代码执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

14人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-11: 细节已通知厂商并且等待厂商处理中
2016-01-13: 厂商已经确认,细节仅向厂商公开
2016-01-16: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-08: 细节向核心白帽子及相关领域专家公开
2016-03-18: 细节向普通白帽子公开
2016-03-28: 细节向实习白帽子公开
2016-04-11: 细节向公众公开

简要描述:

RT

详细说明:

在文件 /admin/system/backup_action.php

code 区域
<?php


if (isset($_REQUEST['cmd']))


	$cmd = $_REQUEST['cmd'];


else


	$cmd = "NULL";





$with_cert = 1;


$pass = "";





include_once "management/system.php";





if ($cmd == $LANG_IMPORT) {


	if ($_FILES['userfile']) {


		$file_size = $_FILES['userfile']['size'];


		$file_type = $_FILES['userfile']['type'];


	


		$temp_name = $_FILES['userfile']['tmp_name'];


		$file_name = $_FILES['userfile']['name'];


		$file_name = str_replace("\\","",$file_name);


		$file_name = str_replace("'","",$file_name);


		$file_name = str_replace(" ","",$file_name);





		$file_path = $CFG_UPLOAD_PATH."__im_data__.bin";





		//File Name Check


		if ( $file_name == "" ) { 


			echo "Invalid File Name Specified";


			return;


		}





		$result  =  move_uploaded_file($temp_name, $file_path);


		chmod($file_path, 0777);


	} else {


		$msg = "no upload file\n";


		include "include/error.php";


		return;


	}





	if (isset($_POST['pass_import']))


		$pass = $_POST['pass_import'];


	$SM = new SystemManager;


	$msg = $SM->Import_Export($ticket, $pass, 1, 0);


	if ($msg == "OK")


		$msg = $RESTART_MSG;


	include "include/error.php";


	return;


}





if ($cmd == $LANG_EXPORT) {


	if (isset($_POST['pass_export']))


		$pass = $_POST['pass_export'];


	$SM = new SystemManager;


	$V = $SM->Import_Export($ticket, $pass, 2, $with_cert);


	$file_name = "/data/upload/__ex_data__.bin";


	/*


	header("Pragma: "); 


	header("Cache-Control: "); 


	header("Content-type: application/octet-stream");  


	header("Content-Length: ".filesize($file_name));


	header("Content-Disposition: attachment; filename=\"sysbackup.bin\"");


	readfile($file_name);


	unlink($file_name);


	 */


}


?>



code 区域
$result = move_uploaded_file($temp_name, $file_path);



$file_path 可控

code 区域
$file_path = $CFG_UPLOAD_PATH."__im_data__.bin";

%00 截断 存在任意文件上传!!



EXP:丢到测试代码里了!

漏洞证明:

案例:证明漏洞存在 直接传了info,exp在测试代码里面

**.**.**.**/

**.**.**.**/admin/system/11.php

QQ截图20160111133947.png





https://**.**.**.**/welcome_pop.php

https://**.**.**.**/admin/system/11.php

QQ截图20160111135151.png





**.**.**.**/welcome_pop.php

**.**.**.**/admin/system/11.php

QQ截图20160111134707.png





https://**.**.**.**/welcome_pop.php 北京交通大学

https://**.**.**.**/admin/system/11.php

QQ截图20160111135424.png





https://**.**.**.**/welcome_pop.php 安徽财政电子政务系统

https://**.**.**.**/admin/system/11.php

QQ截图20160111135605.png





都是是网神的哦,只是他有个功能能改页面中的logo,看箭头的小logo就是网神的标志:

QQ截图20160111135810.png





经过测试 影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备

修复方案:

!!!!

版权声明:转载请注明来源 Angle_G@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-01-13 10:15

厂商回复:

感谢白帽子提出的此漏洞,我们在收到信息后核实发现的确存在此问题,目前我们已针对此漏洞指定了相应的修复方案,并已开始对本次涉及的设备进行修复。请白帽子留下你的联系方式,我们将邮寄一份精美礼品以表示感谢。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):
登陆后才能进行评分
0%
0%
0%
0%
100%

评价

  1. 2016-01-11 15:47 | cuger ( 普通白帽子 | Rank:205 漏洞数:46 | 都说爱笑的人运气不会太差,废话,运气太差...)
    0

    V587

    1# 回复此人
  2. 2016-04-14 16:15 | 1c3z ( 普通白帽子 | Rank:297 漏洞数:63 | @)!^)
    1

    $file_path = $CFG_UPLOAD_PATH."__im_data__.bin"; CFG_UPLOAD_PATH没出现,求教如何去控?

    2# 回复此人
  3. 2016-04-14 18:23 | 紫梦芊 ( 普通白帽子 | Rank:138 漏洞数:9 | 踏踏实实做测试)
    1

    WooYun: [再浅谈内网安全]--网神某带ids,waf网关设备完控0day又一枚 举一反三

    3# 回复此人

登录后才能发表评论,请先 登录