锐捷易网关远程命令执行
漏洞说明¶
在web管理页面上,使用管理员的用户名密码登录设备后,可通过web页面执行部分操作命令,设备上有接口来读取这些操作命令的返回值。接口对返回值中存在的恶意指令过滤不充分,导致设备可以通过CLI被远程执行一些恶意指令,对设备正常运行造成影响。
影响范围¶
目前仅网关产品的11x版本存在此问题,10.x版本未发现此问题。
漏洞详情¶
web页面的管理员用户名、密码泄漏,且http登录访问成功的情况下会发生。 进入锐捷易网关登录界面,抓取一个登录数据包:
发现参数中有command=执行的命,strurl=应该是当前的运行模式挖掘后发现有exec和config等,mode=priv_exec直接特权模式
输入 sh run命令进行尝试,可查看到有相应的用户信息: 注意到这里有一个webmaster level 0 1 2,通过了解0的级别是最高的,也就是权限是最好的,1和2 依次减低。
尝试通过执行webmaster level 0 username guest password guest来提升权限,需要把strurl改成config即可执行成功。 再查看show run最下面发下有telnet的密码信息:
之后就可通过telnet进入,再配置一个VPN账号后就可进行内网漫游:
特征:¶
版本:锐捷易网关产品11x版本 协议:http协议,默认端口80 流量探测参数中包含:command=、strurl=、 exec、 config、mode=priv_exec 流量提权参数:webmaster level 0 username guest password guest 相关设备命令:show run、sh run 新增异常VPN账号