一、任意文件下载
问题文件:\src\module\opt\downloadSecFile.php
没有include init.php,无需登录可以直接访问
问题代码:
呵呵,windows下穿越目录可以这么干:
轻松bypass,可以用来读取服务器上任意文件(当然仅限于安装目录所在盘符下的文件)
比如说:
1、脱裤子
sys_adt.MYD里保存了系统管理员帐号密码,参考之前发的漏洞: WooYun: 深信服VSP外置数据中心getshell
红框部分合并就是Admin帐号加密后的密码,去掉最后一位,key为tjf解密如下:
2、读取global_admin.ini直接登录
参考漏洞: WooYun: 深信服SSL VPN外置数据中心敏感信息泄漏&SQL注入漏洞可导致getshell
3、获取邮箱帐号密码
二、SQL注入(insert into类型,需要登录)
问题代码在DBMantain.class.php里:
$desc没有过滤可引入单引号形成insert型注入,POC如下:
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2015-03-02 11:59
厂商回复:
感谢白帽子提出的问题!经过内部验证:(1)此外置数据中心主要用于存放VPN的操作日志,不涉及VPN的权限安全问题;(2)外置数据中心基本上部署在客户内网,外网无法访问该数据中心,因此该漏洞较难利用。
综合考虑以上两点内容,我们将漏洞降为中级。我们的工程师正在紧急修复该漏洞,近期将发布补丁包。启动了自动更新功能的客户可通过在线升级的方式自动修复此漏洞,另外,我们的客服部门也将发布公告推动更新。
最新状态:
2015-03-02:得知漏洞信息后,深信服工程师已第一时间对SSL产品线全部版本及其外置数据中心进行排查, 此隐患只存在于外置数据中心,不会对SSL VPN设备自身的稳定性和安全性造成任何影响。并且外置数据中心一般部署于内网,无法通过互联网进行访问,因此来自互联网利用此漏洞进行攻击威胁的可行性较低。而未安装使用外置数据中心的设备,完全不受此漏洞影响。特此声明。