当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169077

漏洞标题:网神旧版VPN系统GETSHELL(同时影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备)

相关厂商:网神信息技术(北京)股份有限公司

漏洞作者: Angle_G

提交时间:2016-01-11 14:17

修复时间:2016-04-11 16:08

公开时间:2016-04-11 16:08

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-11: 细节已通知厂商并且等待厂商处理中
2016-01-13: 厂商已经确认,细节仅向厂商公开
2016-01-16: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-08: 细节向核心白帽子及相关领域专家公开
2016-03-18: 细节向普通白帽子公开
2016-03-28: 细节向实习白帽子公开
2016-04-11: 细节向公众公开

简要描述:

RT

详细说明:

在文件 /admin/system/backup_action.php

<?php
if (isset($_REQUEST['cmd']))
$cmd = $_REQUEST['cmd'];
else
$cmd = "NULL";
$with_cert = 1;
$pass = "";
include_once "management/system.php";
if ($cmd == $LANG_IMPORT) {
if ($_FILES['userfile']) {
$file_size = $_FILES['userfile']['size'];
$file_type = $_FILES['userfile']['type'];

$temp_name = $_FILES['userfile']['tmp_name'];
$file_name = $_FILES['userfile']['name'];
$file_name = str_replace("\\","",$file_name);
$file_name = str_replace("'","",$file_name);
$file_name = str_replace(" ","",$file_name);
$file_path = $CFG_UPLOAD_PATH."__im_data__.bin";
//File Name Check
if ( $file_name == "" ) {
echo "Invalid File Name Specified";
return;
}
$result = move_uploaded_file($temp_name, $file_path);
chmod($file_path, 0777);
} else {
$msg = "no upload file\n";
include "include/error.php";
return;
}
if (isset($_POST['pass_import']))
$pass = $_POST['pass_import'];
$SM = new SystemManager;
$msg = $SM->Import_Export($ticket, $pass, 1, 0);
if ($msg == "OK")
$msg = $RESTART_MSG;
include "include/error.php";
return;
}
if ($cmd == $LANG_EXPORT) {
if (isset($_POST['pass_export']))
$pass = $_POST['pass_export'];
$SM = new SystemManager;
$V = $SM->Import_Export($ticket, $pass, 2, $with_cert);
$file_name = "/datahttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/__ex_data__.bin";
/*
header("Pragma: ");
header("Cache-Control: ");
header("Content-type: application/octet-stream");
header("Content-Length: ".filesize($file_name));
header("Content-Disposition: attachment; filename=\"sysbackup.bin\"");
readfile($file_name);
unlink($file_name);
*/
}
?>


$result = move_uploaded_file($temp_name, $file_path);


$file_path 可控

$file_path = $CFG_UPLOAD_PATH."__im_data__.bin";

%00 截断 存在任意文件上传!!
EXP:丢到测试代码里了!

漏洞证明:

案例:证明漏洞存在 直接传了info,exp在测试代码里面
**.**.**.**/
**.**.**.**/admin/system/11.php

QQ截图20160111133947.png


https://**.**.**.**/welcome_pop.php
https://**.**.**.**/admin/system/11.php

QQ截图20160111135151.png


**.**.**.**/welcome_pop.php
**.**.**.**/admin/system/11.php

QQ截图20160111134707.png


https://**.**.**.**/welcome_pop.php 北京交通大学
https://**.**.**.**/admin/system/11.php

QQ截图20160111135424.png


https://**.**.**.**/welcome_pop.php 安徽财政电子政务系统
https://**.**.**.**/admin/system/11.php

QQ截图20160111135605.png


都是是网神的哦,只是他有个功能能改页面中的logo,看箭头的小logo就是网神的标志:

QQ截图20160111135810.png


经过测试 影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备

修复方案:

!!!!

版权声明:转载请注明来源 Angle_G@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-01-13 10:15

厂商回复:

感谢白帽子提出的此漏洞,我们在收到信息后核实发现的确存在此问题,目前我们已针对此漏洞指定了相应的修复方案,并已开始对本次涉及的设备进行修复。请白帽子留下你的联系方式,我们将邮寄一份精美礼品以表示感谢。

最新状态:

暂无


漏洞评价:

评价

  1. 2016-01-11 15:47 | cuger ( 普通白帽子 | Rank:205 漏洞数:46 | 都说爱笑的人运气不会太差,废话,运气太差...)

    V587