跳转至

锐捷易网关远程命令执行

漏洞说明

在web管理页面上,使用管理员的用户名密码登录设备后,可通过web页面执行部分操作命令,设备上有接口来读取这些操作命令的返回值。接口对返回值中存在的恶意指令过滤不充分,导致设备可以通过CLI被远程执行一些恶意指令,对设备正常运行造成影响。

影响范围

目前仅网关产品的11x版本存在此问题,10.x版本未发现此问题。

漏洞详情

web页面的管理员用户名、密码泄漏,且http登录访问成功的情况下会发生。 进入锐捷易网关登录界面,抓取一个登录数据包:

发现参数中有command=执行的命,strurl=应该是当前的运行模式挖掘后发现有exec和config等,mode=priv_exec直接特权模式

输入 sh run命令进行尝试,可查看到有相应的用户信息: 注意到这里有一个webmaster level 0 1 2,通过了解0的级别是最高的,也就是权限是最好的,1和2 依次减低。

尝试通过执行webmaster level 0 username guest password guest来提升权限,需要把strurl改成config即可执行成功。 再查看show run最下面发下有telnet的密码信息:

之后就可通过telnet进入,再配置一个VPN账号后就可进行内网漫游:

特征:

版本:锐捷易网关产品11x版本 协议:http协议,默认端口80 流量探测参数中包含:command=、strurl=、 exec、 config、mode=priv_exec 流量提权参数:webmaster level 0 username guest password guest 相关设备命令:show run、sh run 新增异常VPN账号