«

HW弹药库之深信服EDR 3.2.21 任意代码执行漏洞分析

admin 发布于 阅读:7704 技术文章


漏洞原理:

HW弹药库之深信服EDR 3.2.21 任意代码执行漏洞分析

dev_linkage_launch.php 为设备联动的新入口点主要是将联动的接口构造成业务统一处理的接口

主要调用

HW弹药库之深信服EDR 3.2.21 任意代码执行漏洞分析

跟进

HW弹药库之深信服EDR 3.2.21 任意代码执行漏洞分析

可以看到 第一个检查为 $req_url = $_SERVER['PHP_SELF'];

绕过第一个检查:

在他们系统nginx配置文件里面:

HW弹药库之深信服EDR 3.2.21 任意代码执行漏洞分析

通过nginx规则可以得知,他们没有设置禁止外网访问.从而可以直接访问

/api/edr/sangforinter/v2/xxx 绕过 第一个检查

第二检查: 权限检查

HW弹药库之深信服EDR 3.2.21 任意代码执行漏洞分析

跟进check_access_token

HW弹药库之深信服EDR 3.2.21 任意代码执行漏洞分析

这里if($md5_str == $json_token["md5"]) 引发第二个漏洞: php弱类型导致的漏洞

绕过只需要传入一个base64编码的json内容为 {“md5”:true}即可

至此 权限检查绕过完毕

来到 process_cssp.php 文件

HW弹药库之深信服EDR 3.2.21 任意代码执行漏洞分析

存在任意指令执行漏洞.作者试图使用escapeshellarg函数去给单引号打反斜杠实际上是毫无作用的.

绕过:

{"params":"w=123\"'1234123'\"|命令"}

结果如下:

HW弹药库之深信服EDR 3.2.21 任意代码执行漏洞分析

返回:

HW弹药库之深信服EDR 3.2.21 任意代码执行漏洞分析

渗透测试 黑客 rce


扫描二维码,在手机上阅读

推荐阅读: