神刀安全网

漏洞标题: 网神旧版VPN系统GETSHELL(同时影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备)

漏洞详情

披露状态:

2016-01-11: 细节已通知厂商并且等待厂商处理中
2016-01-13: 厂商已经确认,细节仅向厂商公开
2016-01-16: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-08: 细节向核心白帽子及相关领域专家公开
2016-03-18: 细节向普通白帽子公开
2016-03-28: 细节向实习白帽子公开
2016-04-11: 细节向公众公开

简要描述:

RT

详细说明:

在文件 /admin/system/backup_action.php

code 区域
<?php
if (isset($_REQUEST['cmd']))
$cmd = $_REQUEST['cmd'];
else
$cmd = "NULL";

$with_cert = 1;
$pass = "";

include_once "management/system.php";

if ($cmd == $LANG_IMPORT) {
if ($_FILES['userfile']) {
$file_size = $_FILES['userfile']['size'];
$file_type = $_FILES['userfile']['type'];

$temp_name = $_FILES['userfile']['tmp_name'];
$file_name = $_FILES['userfile']['name'];
$file_name = str_replace("//","",$file_name);
$file_name = str_replace("'","",$file_name);
$file_name = str_replace(" ","",$file_name);

$file_path = $CFG_UPLOAD_PATH."__im_data__.bin";

//File Name Check
if ( $file_name == "" ) {
echo "Invalid File Name Specified";
return;
}

$result = move_uploaded_file($temp_name, $file_path);
chmod($file_path, 0777);
} else {
$msg = "no upload file/n";
include "include/error.php";
return;
}

if (isset($_POST['pass_import']))
$pass = $_POST['pass_import'];
$SM = new SystemManager;
$msg = $SM->Import_Export($ticket, $pass, 1, 0);
if ($msg == "OK")
$msg = $RESTART_MSG;
include "include/error.php";
return;
}

if ($cmd == $LANG_EXPORT) {
if (isset($_POST['pass_export']))
$pass = $_POST['pass_export'];
$SM = new SystemManager;
$V = $SM->Import_Export($ticket, $pass, 2, $with_cert);
$file_name = "/data/upload/__ex_data__.bin";
/*
header("Pragma: ");
header("Cache-Control: ");
header("Content-type: application/octet-stream");
header("Content-Length: ".filesize($file_name));
header("Content-Disposition: attachment; filename=/"sysbackup.bin/"");
readfile($file_name);
unlink($file_name);
*/
}
?>

code 区域
$result = move_uploaded_file($temp_name, $file_path);

$file_path 可控

code 区域
$file_path = $CFG_UPLOAD_PATH."__im_data__.bin";

%00 截断 存在任意文件上传!!

EXP:丢到测试代码里了!

漏洞证明:

案例:证明漏洞存在 直接传了info,exp在测试代码里面

**.**.**.**/

**.**.**.**/admin/system/11.php

漏洞标题:  网神旧版VPN系统GETSHELL(同时影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备)

https://**.**.**.**/welcome_pop.php

https://**.**.**.**/admin/system/11.php

漏洞标题:  网神旧版VPN系统GETSHELL(同时影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备)

**.**.**.**/welcome_pop.php

**.**.**.**/admin/system/11.php

漏洞标题:  网神旧版VPN系统GETSHELL(同时影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备)

https://**.**.**.**/welcome_pop.php 北京交通大学

https://**.**.**.**/admin/system/11.php

漏洞标题:  网神旧版VPN系统GETSHELL(同时影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备)

https://**.**.**.**/welcome_pop.php 安徽财政电子政务系统

https://**.**.**.**/admin/system/11.php

漏洞标题:  网神旧版VPN系统GETSHELL(同时影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备)

都是是网神的哦,只是他有个功能能改页面中的logo,看箭头的小logo就是网神的标志:

漏洞标题:  网神旧版VPN系统GETSHELL(同时影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备)

经过测试 影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备

修复方案:

!!!!

版权声明:转载请注明来源 Angle_G@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 网神旧版VPN系统GETSHELL(同时影响网御神州、天融信、西安网赢、卫士通、吉大正元、美国凹凸、德国 ANIX等多家VPN厂商设备)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮