发新话题
打印

D-Link(Byzoro 百卓)上网行为审计网关存在任意文件遍历&Getshell&SQL命令执行

D-Link(Byzoro 百卓)上网行为审计网关存在任意文件遍历&Getshell&SQL命令执行

漏洞概要
缺陷编号:        WooYun-2015-135939
漏洞标题:        D-Link某系列上网行为审计网关存在任意文件遍历&Getshell&SQL命令执行
相关厂商:        友讯网络
漏洞作者:        YY-2012
提交时间:        2015-08-23 21:27
公开时间:        2015-11-23 19:12
漏洞类型:        设计缺陷/逻辑错误
危害等级:        高
自评Rank:        20
漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:        http://www.wooyun.org
Tags标签:设计缺陷/边界绕过 逻辑错误


漏洞详情披露状态:
2015-08-23:        细节已通知厂商并且等待厂商处理中
2015-08-25:        厂商已经确认,细节仅向厂商公开
2015-08-28:        细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-10-19:        细节向核心白帽子及相关领域专家公开
2015-10-29:        细节向普通白帽子公开
2015-11-08:        细节向实习白帽子公开
2015-11-23:        细节向公众公开

简要描述:Y__Y
详细说明:两处任意文件遍历(需登录)

一处Getshell(需登录)

一处SQL命令执行(无需登录)

根据案例测试发现涉及“DAR-8000 系列上网行为审计网关”和“DAR-7000 系列上网行为审计网关”两款网关。



漏洞证明:第一处任意文件遍历(文件download.php):


code 区域<?php

...
}

function download($sFilePath,$file_name)
{

  。。。
}




function error()
{
。。。
}

?>
code 区域参数file控制不严导致。文件路径需BASE64编码,利用方式https://地址/log/download.php。。。1.txt





第二处任意文件遍历(文件resmanage.php):


code 区域<?php
...
}

//。。。
/**
* Goofy 2011-11-30
* getDir()去文件夹列表,getFile()去对应文件夹下面的文件列表,二者的区别在于判断有没有“.”后缀的文件,其他都一样
*/
//获取文件目录列表,该方法返回数组
function getDir($dir) {
...
}

//获取文件列表
function getFile($dir) {
...
}
//上传
$targetdir = "/home/portal/res/";
function upload($targetdir) {        
  。。。

}

...

//内存加载的文件数组
function get_memory_file_arr(){
。。。
}

function get_sever_arr(){
。。。

}

//下载
if(isset($_GET['load'])){

...
}
require_once("tpl/_resmanage.php");
code 区域参数load控制不严导致,利用方式https://地址/useratte/resmanage.php?load=。。。
code 区域以上访问会生成一个临时gz压缩文件tmp/img.tar.gz该文件无需登录可直接访问下载。







一处Getshell(与上面文件一样,同样是文件resmanage.php):


code 区域POST /useratte/resmanage.php? HTTP/1.1


...




code 区域**.**.**.**:8443/home/portal/res/test.php   密码pass



一处无需登录下可SQL命令执行(文件importexport.php):


code 区域<?php
require_once("global.func.php");
require_once("include/language_cn.php");
。。。

?>



SQL语句执行前需BASE64编码。利用方式如下:









这里执行“select。。。 ”语句为例:


code 区域https://地址/importexport.php?sql=。。。



弱口令案例:


code 区域**.**.**.**:8443/home.php      DAR-7000 系列上网行为审计网关
**.**.**.**:8443/home.php        DAR-7000 系列上网行为审计网关
**.**.**.**:8443/home.php       DAR-7000 系列上网行为审计网关
**.**.**.**:8443/home.php      DAR-7000 系列上网行为审计网关
**.**.**.**:8443/home.php       DAR-8000 系列上网行为审计网关
**.**.**.**:8443/home.php     DAR-7000 系列上网行为审计网关
**.**.**.**:8443/home.php      DAR-8000 系列上网行为审计网关
**.**.**.**:8443/home.php      DAR-8000 系列上网行为审计网关

修复方案:联系厂商

版权声明:转载请注明来源 YY-2012@乌云

漏洞回应
厂商回应:
危害等级:高

漏洞Rank:14
确认时间:2015-08-25 19:11
厂商回复:CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向软件生产厂商通报。
最新状态:暂无
原文:http://www.wooyun.org/bugs/wooyun-2015-0135939


[ 本帖最后由 linda 于 2016-5-19 17:19 编辑 ]

TOP

发新话题