当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0176999

漏洞标题:金山KingGate防火墙远程任意命令执行(未授权到撸穿源代码)

相关厂商:金山软件集团

漏洞作者: 老虎皮

提交时间:2016-02-19 14:21

修复时间:2016-05-19 15:20

公开时间:2016-05-19 15:20

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-02-19: 细节已通知厂商并且等待厂商处理中
2016-02-19: 厂商已经确认,细节仅向厂商公开
2016-02-22: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-04-14: 细节向核心白帽子及相关领域专家公开
2016-04-24: 细节向普通白帽子公开
2016-05-04: 细节向实习白帽子公开
2016-05-19: 细节向公众公开

简要描述:

无需登录,远程任意命令执行(root权限),直接撸穿源代码,随意控制防火墙

详细说明:

无需登录,远程任意命令执行(root权限),直接撸穿源代码,随意控制防火墙
该设计缺陷新旧版本的KingGate防火墙通杀

1.png


2.png


具体案例参考http://**.**.**.**/bugs/wooyun-2013-0135128 ¥¥
通过测试发现该防火墙系统未授权访问,即所有页面均采用javascript跳转控制,如访问**.**.**.**/src/system/sysmanage.php(后台管理页面)

3.png


其中就js跳转

<script language="JavaScript">
<!--
parent.parent.location.href='../../src/system/login.php';
// -->
</script>


所以只要禁止跳转,我们就可以登录后台了。如何禁止跳转,如图

4.png


5.png


我们就可以对整个后台进行了控制

在对后台测试中,发现的上传点都未办法执行,包括注入都已测试,没有发现
在偶然测试中,发现一枚远程命令执行

5.png


-rw-rw-rw- 1 root root 13654 Jan 24 2008 default.php -rw-rw-rw- 1 root root 3868 May 10 2015 default.tgz -rw-rw-rw- 1 root root 2859 Apr 11 2008 dhcp.php -rw-rw-rw- 1 root root 1888 May 10 2015 dhcp.tgz -rw-rw-rw- 1 root root 4316 May 10 2015 dhcp_dialog.php -rw-rw-rw- 1 root root 28785 Apr 11 2007 dialset.php drw-rw-rw- 2 root root 856 Jan 1 2000 get -rw-rw-rw- 1 root root 11528 Nov 12 2007 ipmac.php -rw-rw-rw- 1 root root 5510 Jun 13 2010 login.php -rw-rw-rw- 1 root root 1055 Mar 26 2007 logout.php -rw-rw-rw- 1 root root 3428 May 5 2008 modeset.php -rw-rw-rw- 1 root root 6561 May 24 2007 modifyuserperm.php -rw-rw-rw- 1 root root 6192 Feb 25 2008 netflow.php -rw-rw-rw- 1 root root 4451 Jan 24 2008 netmanage.php drw-rw-rw- 2 root root 1208 Jan 1 2000 post -rw-rw-rw- 1 root root 9168 Mar 26 2007 post_test.php -rw-rw-rw- 1 root root 3759 Jun 18 2008 remote_login.php -rw-rw-rw- 1 root root 17052 Jun 19 2008 snmp.php -rw------- 1 root root 0 Feb 19 13:23 sss -rw------- 1 root root 0 Feb 19 13:23 ssssss -rw------- 1 root root 0 Feb 19 13:22 ssssssssss -rw------- 1 root root 0 Feb 19 13:22 ssssssssssssss -rw-rw-rw- 1 root root 4296 Mar 21 2008 sysmanage.php -rw-rw-rw- 1 root root 1625 May 10 2015 sysmanage.tgz drw-rw-rw- 3 root root 136 Jan 1 2000 system_config drw-rw-rw- 2 root root 1208 Jan 1 2000 tab -rw-rw-rw- 1 root root 5185 Mar 31 2008 update.php -rw-rw-rw- 1 root root 2120 May 10 2015 update.tgz


案例一、

6.png


案例二、

7.png


案例三、

8.png



撸穿源代码

9.png


附件中提供测试exp
其他案例请参考如下:
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
https://**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php


漏洞证明:

4.png


5.png


我们就可以对整个后台进行了控制

在对后台测试中,发现的上传点都未办法执行,包括注入都已测试,没有发现
在偶然测试中,发现一枚远程命令执行

5.png


-rw-rw-rw- 1 root root 13654 Jan 24 2008 default.php -rw-rw-rw- 1 root root 3868 May 10 2015 default.tgz -rw-rw-rw- 1 root root 2859 Apr 11 2008 dhcp.php -rw-rw-rw- 1 root root 1888 May 10 2015 dhcp.tgz -rw-rw-rw- 1 root root 4316 May 10 2015 dhcp_dialog.php -rw-rw-rw- 1 root root 28785 Apr 11 2007 dialset.php drw-rw-rw- 2 root root 856 Jan 1 2000 get -rw-rw-rw- 1 root root 11528 Nov 12 2007 ipmac.php -rw-rw-rw- 1 root root 5510 Jun 13 2010 login.php -rw-rw-rw- 1 root root 1055 Mar 26 2007 logout.php -rw-rw-rw- 1 root root 3428 May 5 2008 modeset.php -rw-rw-rw- 1 root root 6561 May 24 2007 modifyuserperm.php -rw-rw-rw- 1 root root 6192 Feb 25 2008 netflow.php -rw-rw-rw- 1 root root 4451 Jan 24 2008 netmanage.php drw-rw-rw- 2 root root 1208 Jan 1 2000 post -rw-rw-rw- 1 root root 9168 Mar 26 2007 post_test.php -rw-rw-rw- 1 root root 3759 Jun 18 2008 remote_login.php -rw-rw-rw- 1 root root 17052 Jun 19 2008 snmp.php -rw------- 1 root root 0 Feb 19 13:23 sss -rw------- 1 root root 0 Feb 19 13:23 ssssss -rw------- 1 root root 0 Feb 19 13:22 ssssssssss -rw------- 1 root root 0 Feb 19 13:22 ssssssssssssss -rw-rw-rw- 1 root root 4296 Mar 21 2008 sysmanage.php -rw-rw-rw- 1 root root 1625 May 10 2015 sysmanage.tgz drw-rw-rw- 3 root root 136 Jan 1 2000 system_config drw-rw-rw- 2 root root 1208 Jan 1 2000 tab -rw-rw-rw- 1 root root 5185 Mar 31 2008 update.php -rw-rw-rw- 1 root root 2120 May 10 2015 update.tgz


案例一、

6.png


案例二、

7.png


案例三、

8.png



撸穿源代码

9.png


附件中提供测试exp

修复方案:

版权声明:转载请注明来源 老虎皮@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2016-02-19 15:11

厂商回复:

感谢对金山安全的关注,此设备是由原先深圳金山团队开发(目前设备已经停止更新与维护),并且为公开安全漏洞,很抱歉给大家造成不便

最新状态:

暂无


漏洞评价:

评价

  1. 2016-02-19 16:28 | 老虎皮 ( 普通白帽子 | Rank:296 漏洞数:49 | 我是一枚又萌又可爱的女汉子)

    @金山软件集团 吹牛逼,这属于公开漏洞? 你给我个地址? 真不想吐槽你

  2. 2016-02-24 16:49 | 欧尼酱 ( 路人 | Rank:15 漏洞数:7 | 技术马马虎虎)

    @老虎皮 666

  3. 2016-03-03 13:55 | Me_Fortune ( 普通白帽子 | Rank:337 漏洞数:112 | The quiter you are,the more you're able ...)

    妹子?

  4. 2016-03-03 14:34 | sangfor.org ( 实习白帽子 | Rank:52 漏洞数:25 | 天下熙熙,皆为利来;天下攘攘,皆为利往...)

    @老虎皮 直接公开吧