WooYun.org

本来在找常见的web漏洞，但是呢，无意间去看了一下apahce的配置文件。

#    Alias /manual/ "/virus/apache/apache/htdocs/manual/"
#    <Directory "/virus/apache/apache/htdocs/manual">
#        Options Indexes FollowSymlinks -MultiViews -Indexes
#        AllowOverride None
#        Order allow,deny
#        Allow from all
#    </Directory>
    Alias /file/ "/"

看到这里汗了一下～ 最后一行的意思是把系统根目录设置为file别名。 0.0 刚开始不太相信，以为是前面哪位大牛留的后门，但后来经过分析文件修改时间及其它版本的几个设备，推测应该不是。
然后呢，就是这样了。能直接访问shadow，说明是root权限。

但现在只是拿到了系统的shadow文件，只能暴力破解。所以我们需要先找到后台维护的密码。
路径为：http://58.251.x.x:85/file/etc/updatemepasswd

用后台维护软件连上去之后，用OD添加新的用户就可以了。
命令是：

useradd -u 0 -o -g root -G root -d /tmp root4 -p "cryptpass"

这样就添加了一个root4的账户，-p参数后的字符串必须是加密后的，这样写入shadow文件里后才能登录系统。

WEB前台的密码是保存在ctrluser.ini文件里的，貌似用了sha1加密（具体不清楚，加密菜鸟一枚）。不过我们既然拿到root权限了，就直接将之替换为已知明文的密文即可。

保存配置文件后，可以成功登录系统。

目前测试有漏洞的上网行为管理系统的版本为

AC2.0 http://125.33.*.*:85
AC2.1 http://115.238.*.*:85
AC3.5 http://60.2.*.*:85
部分的AC4.01 http://58.251.*.*:85

以及广域网优化产品的

WANACC 6.0SP3 http://222.143.*.*:85
WANACC 7.0SP1 http://58.251.*.*:85

好了，接下来是VPN的简单绕过，不过有版本和其它一些限制。问题出在备份机制和BOA（类似于Apache的服务）的配置文件上。
先说VPN的备份机制。在WEB管理界面里点击备份配置后，系统会将一些配置文件和带有用户信息的数据库加密并导出为一个bcf文件，类似于sangfor_all_20120825.bcf这样的格式。
密码是不知道的，到这里应该没什么问题。但是呢，备份后系统会在stmp目录下保存一份没有经过加密的文件。
我们再来看下BOA的配置文件是怎么写的。

# Aliases: Aliases one path to another.
# Example: Alias /path1/bar /path2/foo
#Alias /doc /usr/doc
Alias /stmp /stmp 
# ScriptAlias: Maps a virtual path to a directory for serving scripts
# Example: ScriptAlias /htbin/ /www/htbin/

看到这里大家应该都知道了吧，是的，还是别名的问题，系统把stmp目录放在web目录下了。这样只要做过备份的系统，我们都可以就可以直接下载备份文件，不需要验证。

将下载下来的cfgbk文件解压即可。
解压后的db目录里有数据库的备份文件，数据库使用sqlite，里面保存了用户名，密码等信息。

这样对只使用密码验证一种方式的用户来说，就可以直接连VPN了。

所以呢，绕过权限需要满足的条件有
1. 做过系统备份
2. 目前测试有漏洞的版本为

VPN 4.12
VPN 4.21 
VPN 4.30

其实还有其它的系统如SC4.2、WANACC 7.0 SP1都有该漏洞，建议厂商自查一下。