破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

金山KingGate防火墙远程任意命令执行(未授权到撸穿源代码)

编号176999
Urlhttp://www.wooyun.org/bug.php?action=view&id=176999
漏洞状态厂商已经确认
漏洞标题金山KingGate防火墙远程任意命令执行(未授权到撸穿源代码)
漏洞类型远程代码执行
厂商金山软件集团
白帽子老虎皮
提交日期2016-02-19 14:21:00
公开日期2016-05-19 15:20:00
修复时间(not set)
确认时间2016-02-19 00:00:00
Confirm Spend0
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank3
漏洞简介
无需登录,远程任意命令执行(root权限),直接撸穿源代码,随意控制防火墙
漏洞细节

无需登录,远程任意命令执行(root权限),直接撸穿源代码,随意控制防火墙
该设计缺陷新旧版本的KingGate防火墙通杀

1.png


2.png


具体案例参考http://**.**.**.**/bugs/wooyun-2013-0135128 ¥¥
通过测试发现该防火墙系统未授权访问,即所有页面均采用javascript跳转控制,如访问**.**.**.**/src/system/sysmanage.php(后台管理页面)

3.png


其中就js跳转

<script language="JavaScript">
<!--
parent.parent.location.href='../../src/system/login.php';
// -->
</script>


所以只要禁止跳转,我们就可以登录后台了。如何禁止跳转,如图

4.png


5.png


我们就可以对整个后台进行了控制

在对后台测试中,发现的上传点都未办法执行,包括注入都已测试,没有发现
在偶然测试中,发现一枚远程命令执行

5.png


-rw-rw-rw- 1 root root 13654 Jan 24 2008 default.php -rw-rw-rw- 1 root root 3868 May 10 2015 default.tgz -rw-rw-rw- 1 root root 2859 Apr 11 2008 dhcp.php -rw-rw-rw- 1 root root 1888 May 10 2015 dhcp.tgz -rw-rw-rw- 1 root root 4316 May 10 2015 dhcp_dialog.php -rw-rw-rw- 1 root root 28785 Apr 11 2007 dialset.php drw-rw-rw- 2 root root 856 Jan 1 2000 get -rw-rw-rw- 1 root root 11528 Nov 12 2007 ipmac.php -rw-rw-rw- 1 root root 5510 Jun 13 2010 login.php -rw-rw-rw- 1 root root 1055 Mar 26 2007 logout.php -rw-rw-rw- 1 root root 3428 May 5 2008 modeset.php -rw-rw-rw- 1 root root 6561 May 24 2007 modifyuserperm.php -rw-rw-rw- 1 root root 6192 Feb 25 2008 netflow.php -rw-rw-rw- 1 root root 4451 Jan 24 2008 netmanage.php drw-rw-rw- 2 root root 1208 Jan 1 2000 post -rw-rw-rw- 1 root root 9168 Mar 26 2007 post_test.php -rw-rw-rw- 1 root root 3759 Jun 18 2008 remote_login.php -rw-rw-rw- 1 root root 17052 Jun 19 2008 snmp.php -rw------- 1 root root 0 Feb 19 13:23 sss -rw------- 1 root root 0 Feb 19 13:23 ssssss -rw------- 1 root root 0 Feb 19 13:22 ssssssssss -rw------- 1 root root 0 Feb 19 13:22 ssssssssssssss -rw-rw-rw- 1 root root 4296 Mar 21 2008 sysmanage.php -rw-rw-rw- 1 root root 1625 May 10 2015 sysmanage.tgz drw-rw-rw- 3 root root 136 Jan 1 2000 system_config drw-rw-rw- 2 root root 1208 Jan 1 2000 tab -rw-rw-rw- 1 root root 5185 Mar 31 2008 update.php -rw-rw-rw- 1 root root 2120 May 10 2015 update.tgz


案例一、

6.png


案例二、

7.png


案例三、

8.png



撸穿源代码

9.png


附件中提供测试exp
其他案例请参考如下:
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
https://**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
https://**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**:8443/src/system/login.php
**.**.**.**/src/system/login.php
**.**.**.**:8443/src/system/login.php


POC

4.png


5.png


我们就可以对整个后台进行了控制

在对后台测试中,发现的上传点都未办法执行,包括注入都已测试,没有发现
在偶然测试中,发现一枚远程命令执行

5.png


-rw-rw-rw- 1 root root 13654 Jan 24 2008 default.php -rw-rw-rw- 1 root root 3868 May 10 2015 default.tgz -rw-rw-rw- 1 root root 2859 Apr 11 2008 dhcp.php -rw-rw-rw- 1 root root 1888 May 10 2015 dhcp.tgz -rw-rw-rw- 1 root root 4316 May 10 2015 dhcp_dialog.php -rw-rw-rw- 1 root root 28785 Apr 11 2007 dialset.php drw-rw-rw- 2 root root 856 Jan 1 2000 get -rw-rw-rw- 1 root root 11528 Nov 12 2007 ipmac.php -rw-rw-rw- 1 root root 5510 Jun 13 2010 login.php -rw-rw-rw- 1 root root 1055 Mar 26 2007 logout.php -rw-rw-rw- 1 root root 3428 May 5 2008 modeset.php -rw-rw-rw- 1 root root 6561 May 24 2007 modifyuserperm.php -rw-rw-rw- 1 root root 6192 Feb 25 2008 netflow.php -rw-rw-rw- 1 root root 4451 Jan 24 2008 netmanage.php drw-rw-rw- 2 root root 1208 Jan 1 2000 post -rw-rw-rw- 1 root root 9168 Mar 26 2007 post_test.php -rw-rw-rw- 1 root root 3759 Jun 18 2008 remote_login.php -rw-rw-rw- 1 root root 17052 Jun 19 2008 snmp.php -rw------- 1 root root 0 Feb 19 13:23 sss -rw------- 1 root root 0 Feb 19 13:23 ssssss -rw------- 1 root root 0 Feb 19 13:22 ssssssssss -rw------- 1 root root 0 Feb 19 13:22 ssssssssssssss -rw-rw-rw- 1 root root 4296 Mar 21 2008 sysmanage.php -rw-rw-rw- 1 root root 1625 May 10 2015 sysmanage.tgz drw-rw-rw- 3 root root 136 Jan 1 2000 system_config drw-rw-rw- 2 root root 1208 Jan 1 2000 tab -rw-rw-rw- 1 root root 5185 Mar 31 2008 update.php -rw-rw-rw- 1 root root 2120 May 10 2015 update.tgz


案例一、

6.png


案例二、

7.png


案例三、

8.png



撸穿源代码

9.png


附件中提供测试exp

修复方案

状态信息 2016-02-19: 细节已通知厂商并且等待厂商处理中
2016-02-19: 厂商已经确认,细节仅向厂商公开
2016-02-22: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-04-14: 细节向核心白帽子及相关领域专家公开
2016-04-24: 细节向普通白帽子公开
2016-05-04: 细节向实习白帽子公开
2016-05-19: 细节向公众公开
厂商回复感谢对金山安全的关注,此设备是由原先深圳金山团队开发(目前设备已经停止更新与维护),并且为公开安全漏洞,很抱歉给大家造成不便
回应信息危害等级:低漏洞Rank:3 确认时间:2016-02-19 15:11
Showing 1-4 of 4 items.
评论内容评论人点赞数评论时间

@老虎皮 直接公开吧

sangfor.org02016-03-03 14:34:00

妹子?

Me_Fortune02016-03-03 13:55:00

@老虎皮 666

欧尼酱02016-02-24 16:49:00

@金山软件集团 吹牛逼,这属于公开漏洞? 你给我个地址? 真不想吐槽你

老虎皮02016-02-19 16:28:00