当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(17) 关注此漏洞

缺陷编号: WooYun-2016-170003

漏洞标题: 上海格尔安全认证网关管理系统命令执行漏洞大礼包

相关厂商: cncert国家互联网应急中心

漏洞作者: xfkxfk认证白帽子

提交时间: 2016-01-15 11:52

公开时间: 2016-04-11 16:08

漏洞类型: 命令执行

危害等级: 高

自评Rank: 20

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 第三方不可信程序 php源码审核 模板文件操作参数未过滤

1人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-15: 细节已通知厂商并且等待厂商处理中
2016-01-19: 厂商已经确认,细节仅向厂商公开
2016-01-22: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-14: 细节向核心白帽子及相关领域专家公开
2016-03-24: 细节向普通白帽子公开
2016-04-03: 细节向实习白帽子公开
2016-04-11: 细节向公众公开

简要描述:

上海格尔安全认证网关管理系统命令执行漏洞多处

详细说明:

第一和第二处命令执行

文件/kssl/kssl/WEBUI/www/api/service.php

code 区域
<?php


	include_once "../global/common.php";


	include_once "../ssl/service_helper.php";


	


	/*	处理GET请求	*/


	$service_path = $_GET['service_path'];


	


	switch( $_GET['service_action'] )


	{


		case 'start': {


			if ( true == start_service($service_path) ) {


				$retry_limit = 10;


				$state_expected = '已启动';


				WEBUI_log( LOG_INFO, "启动代理服务$service_path"."成功" );


			}


			else {


				WEBUI_log( LOG_INFO, "启动代理服务$service_path" );


			}





			while( $service_path != "" && $retry_limit > 0 ) {


				$state = status_service($service_path);


				


				/*	如果HRP状态达到了期望值,则中止重试操作	*/


				if( $state == $state_expected ) {


					break;


				}


				else {


					sleep(1);


					$retry_limit--;


				}


			}


			break;


		}


		case 'stop': {


			if ( true == stop_service($service_path) ) {


				$retry_limit = 10;


				$state_expected = '已停止';


				WEBUI_log( LOG_INFO, "停止代理服务$service_path"."成功" );


			}


			else {


				WEBUI_log( LOG_INFO, "停止代理服务$service_path" );


			}





			while( $service_path != "" && $retry_limit > 0 ) {


				$state = status_service($service_path);


				


				/*	如果HRP状态达到了期望值,则中止重试操作	*/


				if( $state == $state_expected ) {


					break;


				}


				else {


					sleep(1);


					$retry_limit--;


				}


			}


			break;


		}


		case 'download': {


			$proxy = get_proxy($service_path);


			


			$usermap_url = $proxy['usermap_url'];


			if( WEBUI_exec( "$SSL_DIR/bin/hrp-download-usermap.sh $SSL_DIR/cfg/$service_path", true ) ) {


				WEBUI_log( LOG_INFO, "从$usermap_url"."下载代理服务$service_path"."的用户映射策略成功" );


			}


			else {


				WEBUI_log( LOG_ERR, "从$usermap_url"."下载代理服务$service_path"."的用户映射策略失败" );


			}





			$acl_url = $proxy['acl_url'];


			


			echo "<script language='JavaScript'>";


			


			if( WEBUI_exec( "$SSL_DIR/bin/hrp-download-acl.sh $SSL_DIR/cfg/$service_path", true ) ) {


				WEBUI_log( LOG_INFO, "从$acl_url"."下载代理服务$service_path"."的ACL策略成功" );





				echo "window.alert(\"激活策略成功\");";


			}


			else {


				WEBUI_log( LOG_ERR, "从$acl_url"."下载代理服务$service_path"."的ACL策略失败" );





				echo "window.alert(\"激活策略失败\");";


			}


			echo "window.close();";


			echo "</script>";


			break;


		}


		case 'user': {


			if ( '已启动' != status_service($service_path) ) {


				echo "服务未启动";


				break;


			}


			


			$proxy = get_proxy($service_path);


			$mrtg_enable = $proxy['mrtg_enable'];	


			$mrtg_ip = $proxy['mrtg_ip'];	


			$mrtg_port = $proxy['mrtg_port'];	





			if ( $mrtg_enable == 'On' ) {


				system( "curl http://$mrtg_ip:$mrtg_port/?ssl" );


			}


			else {


				echo "实时状态查看功能未开启";


			}





			break;


		}


		default:


			WEBUI_alert("无效参数:service_action=".$_GET['service_action']);


	}


?>



注意这里的参数$service_path = $_GET['service_path'];

最后$service_path进入函数start_service,stop_service,status_service

这些函数的定义在文件/kssl/kssl/WEBUI/www/ssl/service_helper.php,跟进

code 区域
function start_service( $service_path )


{


	global $SSL_DIR;


	global $PMONITOR_DIR;





	/*	先检查HRP的配置文件,再运行PMonitor,错误定义见hrp-can-start.sh脚本的注释	*/


	exec( "$SSL_DIR/bin/hrp-can-start.sh /kssl/HRP/cfg/$service_path 2>&1", $results, $ret );





	switch( $ret ) {


	case 0:


		WEBUI_exec( "$PMONITOR_DIR/bin/PMonitor --run -f $SSL_DIR/cfg/".$service_path."/PMonitor.conf > /dev/null", true );


		return true;


	case 1:


		WEBUI_alert( "配置文件不存在,不能启动服务:" );


		return false;


	case 2:


		WEBUI_alert( "本机现在处于双机热备的待机状态,不能启动服务" );


		return false;


	case 3:


		WEBUI_alert( "使用了网络配置中不存在的IP地址,不能启动服务" );


		return false;


	case 4:


		WEBUI_alert( "监听的端口已经被其他程序所使用,不能启动服务" );


		return false;


	case 5:


		WEBUI_exec( "$SSL_DIR/bin/hrp-can-start.sh /kssl/HRP/cfg/$service_path 2>&1", true, "配置文件不完整,或者进行了错误配置" );


		return false;


	}


}





function stop_service( $service_path )


{


	global $SSL_DIR;


	global $PMONITOR_DIR;





	WEBUI_exec( "$PMONITOR_DIR/bin/PMonitor --kill -f $SSL_DIR/cfg/".$service_path."/PMonitor.conf", true );


}





function status_service( $service_path )


{


	global $PMONITOR_DIR;





	exec( "$PMONITOR_DIR/bin/PMonitor -l | grep \"HRP_$service_path \" | awk -F= '{print $3}'", $results, $ret );


	switch( $results[0] ) {


		case "":


			return "已停止";


		case "NORMAL":


			return "已启动";


		case "INIT":


		case "RETRYING":


			return "启动中";


	}


}



由于status_service函数中命令有双引号保护,双引号被转义,导致利用失败

看看start_service和stop_service函数,$service_path进入了WEBUI_exec,跟进此函数

文件/kssl/kssl/WEBUI/www/global/common.php

code 区域
function WEBUI_exec( $cmd, $show_err = false, $note = '' )


{


	exec( $cmd, $results, $ret );


	if( $ret != 0 ) {


		


		if( $show_err ) {


			$err = '执行 '.$cmd.' 命令失败';


			foreach ( $results as $err_line ) {


//2007-5-8 yanhm bugfix for 0005289:错误信息太多 +{{


				//错误信息中删去命令帮助信息


				if ( strncmp($err_line, "Usage", 5) != 0 )


					break;


//}}


				$err = $err.', '.$err_line;


			}


			


			WEBUI_alert( "$note:$err" );


		}


		


		return false;


	}





	return true;


}



最终进入了exec中,导致命令执行

所以当service_action=start和service_action=stop时存在两处命令执行漏洞



第三处和第四处命令执行

文件/kssl/kssl/WEBUI/www/PrivManager.php

code 区域
<?php 





	$setup_ini = "/kssl/WEBUI/www/global/setup.ini";





    $title_php = "/kssl/WEBUI/www/global/title.php";


    $version_php = "/kssl/WEBUI/www/global/version.php";


    $copyright_php = "/kssl/WEBUI/www/global/copyright.php";


    $logo_php = "/kssl/WEBUI/www/global/logo.php";


    


    $logo_jpg_file = "/kssl/WEBUI/www/image/logo.jpg";


	


	function get_setup_ini()


	{


		global $setup_ini;


		$ini_array = array();


		$ini_array = parse_ini_file($setup_ini, true);


	


		return $ini_array;


	}


	


	$setup = array();


	$setup = get_setup_ini();


	


	switch( $_POST['submit_action'] )


	{


		case 'set_privmanager': {


			


			$MODE = $_POST["modes"];


			


			$titlenames = $_POST["titlenames"];		


			$copyright = $_POST["copyright"];


			$version = $_POST["version"];


						


			if( $titlenames == -1 ) {


				$titlenames = $_POST["othername"];


			}


			if( $copyright == -1 ) {


				$copyright =$_POST["othercopyright"];


			}


			if( $version == -1 ) {


				$version = $_POST["otherversion"];


			}


			


			$logo = $titlenames."入口";


			


			$f = fopen( "$title_php", "w" );


            fwrite( $f, "<?php\n" );


            fwrite( $f, "echo \"$titlenames\";\n" );


            fwrite( $f, "?>\n" );


            fclose( $f );


            


            $f = fopen( "$logo_php", "w" );


            fwrite( $f, "<?php\n" );


            fwrite( $f, "echo \"$logo\";\n" );


            fwrite( $f, "?>\n" );


            fclose( $f );





            $f = fopen( "$copyright_php", "w" );


            fwrite( $f, "<?php\n" );


            fwrite( $f, "echo \"$copyright\";\n" );


            fwrite( $f, "?>\n" );


            fclose( $f );


			


            


            $tmp_arr = explode(".", $version);


            $big_version = $tmp_arr[0];


            $tmp = strstr($version, ".");


            $l_version = substr($tmp, 1);


            			


            $f = fopen( "$version_php", "w" );


            fwrite( $f, "<?php\n" );


            fwrite( $f, "\$major=\"$big_version\";\n" );


            fwrite( $f, "\$minor=\"$l_version\";\n" );


			fwrite( $f, "\$baseline=\"R\";\n" );


			fwrite( $f, "\$build=\"110106\";\n" );


			fwrite( $f, "echo \"版本:\$major.\$minor \$baseline-\$build\";\n" );


			fwrite( $f, "?>\n" );


			fclose( $f );


            


            $logo_jpg = $_POST["logo_jpg"];


            


            $logo_jpg_path = "/kssl/WEBUI/www/image/".$logo_jpg;


            


            exec("cp --reply=yes $logo_jpg_path $logo_jpg_file");


            


			if( $MODE == 0 ) {


				$MODE_NAME = "单权模式";


			} else {


				$MODE_NAME = "三权模式";


			}


			if( WEBUI_exec( "/kssl/WEBUI/bin/PrivManager.sh $MODE", true ) ) {


				WEBUI_log( LOG_INFO, "设备部署-设置完成!" );


				echo "<script langauge=javascript>alert('设备部署-设置完成!')</script>";


				exec("touch /kssl/WEBUI/cfg/PrivManager.conf");


				echo "<script langauge=javascript>window.location='index.php';</script>";


			} else {


				WEBUI_log( LOG_ERR, "设备部署-设置失败!" );


				echo "<script langauge=javascript>alert('设备部署-设置失败!')</script>";


			}


			


			break;


		}


	}





?>



可以清楚看到:

$logo_jpg = $_POST["logo_jpg"];

exec("cp --reply=yes $logo_jpg_path $logo_jpg_file");

logo_jpg存在命令执行

还有一处在:

$MODE = $_POST["modes"];

WEBUI_exec( "/kssl/WEBUI/bin/PrivManager.sh $MODE", true )

WEBUI_exec的内容见上面的内容



==============================================================================



上面的几处是直接没有判断登录状态的,直接利用,下面设计大面积登录验证绕过命令执行

首先全局文件中,文件名为*_i.php的文件为正式功能文件

且都有登录验证:

code 区域
<?php	


	session_start();


	include_once "../global/common.php";





	if( WEBUI_HasLogin() == false  ) {


		echo "<script language=\"javascript\">window.location = \"/login.php\";</script>";


	}


?>





/*	判断是否登录	*/


function WEBUI_HasLogin( $bRedirect = true ) 


{


	if( isset($_SESSION['KLSSL_WEBUI_LOGINSTATE']) ) {


		return true;


	}


	else {


		if( $_COOKIE['KLSSL_WEBUI_USERNAME'] != "" and $_COOKIE['KLSSL_WEBUI_PASSWORD'] != "" ) {


			WEBUI_log( LOG_INFO, "以Cookie方式登录" );


			return WEBUI_Login($_COOKIE['KLSSL_WEBUI_USERNAME'], $_COOKIE['KLSSL_WEBUI_PASSWORD']);


		}


		else {


			if ($bRedirect) {


				header("Location: /login.php");


				exit();         


			}               


			return false;


		}


	}


}



当KLSSL_WEBUI_USERNAME和KLSSL_WEBUI_PASSWORD不为空时

进入WEBUI_Login中

function WEBUI_Login( $username, $password )

{

unset($_SESSION['KLSSL_WEBUI_LOGINSTATE']);



if ( WEBUI_CheckPassword( $username, $password ) == false ) {

WEBUI_log( LOG_INFO, "用户".$username."登录失败" );

return false;

}

else {

WEBUI_log( LOG_INFO, "用户".$username."登录成功" );

}



$_SESSION['KLSSL_WEBUI_LOGINSTATE'] = $username;



return true;

}

最后进入WEBUI_CheckPassword中验证:

function WEBUI_CheckPassword( $username, $password )

{

global $WEBUI_DIR;



exec( "grep '$username:' $WEBUI_DIR/cfg/passwd | awk -F: '{print $2}'", $results, $ret );



if( $ret == 0 ) {

// return ( md5($password) == $results[0] ) ;

return ( $password == $results[0] ) ;

}

else {

return false;

}

}

可见名用户么密码都存在文件/kssl/kssl/WEBUI/cfg/passwd中

所以通过上面的命令执行即可读取这里的账户信息进行登录

或者再登录处提交username=12312312,随意字符串,然后password为空即可绕过登录

成功登录后台</code>



在登录后既有太对命令执行了,几乎所有的*_i.php文件都存在命令执行漏洞

如:

code 区域
net_curl_i.php


<?php


	$results = array();


	/*	处理POST请求	*/


	switch( $_POST['submit_action'] ) {


		case 'curl': {


			$URL = $_POST['URL'];


			exec( "curl -k -v --connect-timeout 30 ".$URL." 2>&1", $results, $ret );


			break;


		}


	}


?>





net_ping_i.php


<?php


	/*	处理POST请求	*/


	switch( $_POST['submit_action'] ) {


		case 'ping': {


			$IP = $_POST['IP'];


			exec( "ping -W 3 -c 4 ".$IP, $results, $ret );


			break;


		}


	}


?>





net_telnet_i.php


<?php


	$results = array();


	/*	处理POST请求	*/


	switch( $_POST['submit_action'] ) {


		case 'telnet': {


			$IP = $_POST['IP'];


			$PORT = $_POST['PORT'];


			//exec( "/kssl/PMonitor/bin/Connector -p TCP -i ".$IP." -o ".$PORT, $results, $ret );


			exec( "/bin/nc -z ".$IP." ".$PORT, $results, $ret );


			//WEBUI_alert("/kssl/PMonitor/bin/Connector -p TCP -i ".$IP." -o ".$PORT);


			break;


		}


	}


?>





net_snmp_i.php


$v3username=$_POST['v3username'];


			$password=$_POST['password'];


			$enc_password=$_POST['enc_password'];


			


			$snmpconf = get_snmpconf();


			$snmpconf['listenaddr'] = $ListenAddr;


			$snmpconf['version'] = $version;


			$snmpconf['v3username'] = $v3username;


			$snmpconf['password'] = $password;


			$snmpconf['enc_password'] = $enc_password;


			


			exec("net-snmp-config --create-snmpv3-user -ro -a $password -x $enc_password -X DES -A MD5 $v3username");


剩下的就不一一列举了

漏洞证明:

1.png





2.png



可以看到id成功执行,且为root权限



3.png





4.png



成功写入文件

修复方案:

登录验证,执行命令拼接参数过滤

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-01-19 11:52

厂商回复:

CNVD未直接复现所述情况,已经由CNVD通过以往建立的处置渠道软件生产厂商通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2016-01-15 11:53 | 带头大哥 ( 普通白帽子 | Rank:760 漏洞数:226 | |任意邮件伪造| |目录遍历| |任意文件读取|...)
    0

    师傅就是牛!

    1# 回复此人
  2. 2016-01-15 11:54 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)
    0

    师傅就是牛!

    2# 回复此人
  3. 2016-01-15 12:12 | 麦兜 ( 实习白帽子 | Rank:65 漏洞数:10 | 麦兜爱吃苹果.)
    0

    师傅就是快

    3# 回复此人
  4. 2016-01-15 14:38 | %230CC ( 路人 | Rank:6 漏洞数:2 | 溜溜)
    0

    你们能不能别这么赤裸裸的跟我表哥套近乎。。。

    4# 回复此人
  5. 2016-01-15 19:46 | Fnut ( 实习白帽子 | Rank:71 漏洞数:19 | 大王叫我来巡山,巡完南山巡北山)
    0

    师傅就是牛!

    5# 回复此人

登录后才能发表评论,请先 登录