深信服AC DC 10.3漏洞集合第一弹

漏洞概要

缺陷编号:WooYun-2015-0105026

漏洞标题:深信服AC DC 10.3漏洞集合第一弹

相关厂商:深信服

漏洞作者:f4ckbaidu

提交时间:2015-03-31 17:06

公开时间:2015-06-30 18:44

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-03-31: 细节已通知厂商并且等待厂商处理中
2015-04-01: 厂商已经确认,细节仅向厂商公开
2015-04-04: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-05-26: 细节向核心白帽子及相关领域专家公开
2015-06-05: 细节向普通白帽子公开
2015-06-15: 细节向实习白帽子公开
2015-06-30: 细节向公众公开

简要描述:

本机测试,没有入侵任何客户,在这里下载的安装包:http://www.sangfor.com.cn/download/product/ac_data_center/DataCenter10.3_Setup.zip
这次发的包含2个SQL注射和1个任意文件下载

详细说明:

在说明漏洞前先说明下自带的防攻击措施1、magic_quotes_gpc=ON2、代码用zend加密过,可以用黑刀解密3、系统自带攻击拦截,针对GPC,代码如下:

下面是漏洞描述部分:一、任意文件下载1(需要登录)问题文件:/src/download.php

这个洞没什么好说的,POC:**.**.**.**/src/download.php?filename=../inc/dbinfo.conf

二、SQL注射1(需要登录,鸡肋)问题文件:/src/downloadreport.php

function HistoryReportInfo位于/src/inc/class/data/customreport.php:可以看到变量account_id直接进入了sql语句

最上面提到的正则拦截了union select,可以用8.0union select bypass之,最后POC:

可惜系统开了magic_quotes_gpc,没办法利用select into outfile getshell三、SQL注射2(需要登录,可getshell)问题文件:/src/getmailfile.php

看下罪魁祸首的问题函数getrequest:

开了magic_quotes_gpc也白搭,直接通过stripslashes去掉了“\”这个地方要想利用还存在一个条件,就是必须存在A表(AC同步过来的行为审计表),既然装了外置DC,还可能会没有AC同步日志过来吗??这不是个问题我这边没设备用来同步日志只能创建Atest表测试了:

需要bypass最开始说的正则,bypass方法和上面一样,用8.0union select代替\bunion select最终getshell EXP:

漏洞证明:

修复方案:

自己看着办

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2015-04-0118:43

厂商回复:

感谢白帽子提出的问题!
经过内部确认,该漏洞仅存在于AC 10G版本的外置数据中心。攻击者若想利用漏洞,必须拿到管理员口令登录设备,无法绕过登录进入设备。另外,外置数据中心大多数部署在用户的内网,外网无法访问该数据中心。外置数据中心放置的是设备的日志,利用任意文件下载漏洞下载到的文件均为AC设备的运行情况,客户的核心业务数据并不会受到该漏洞的影响。考虑了以上的因素,我们将漏洞降为低级。我们的补丁包正在制作当中,测试成功后会第一时间发布。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 milk 白帽子 | Rank:18 漏洞数:3)

    洞主,下次是不是就发深信服AF的了?

  2. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    没有5蛋也好意思说

  3. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    @xsser 慢慢挖,慢慢发

  4. 2010-01-01 00:00 兔八哥 白帽子 | Rank:33 漏洞数:3)

    还有深信服aDesk、无线WAC吗。。

  5. 2010-01-01 00:00 f4ck 白帽子 | Rank:18 漏洞数:1)

    $$$

  6. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    奖必须有的 哈哈

  7. 2010-01-01 00:00 大大灰狼 白帽子 | Rank:144 漏洞数:16)

    @xsser 什么奖

  8. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    @疯狗 这个洞没奖励吗。。。

  9. 2010-01-01 00:00 f4ck 白帽子 | Rank:18 漏洞数:1)

    @f4ckbaidu 等要公开才有奖励吧。

  10. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    @f4ck 原来都是向核心公开之前就有奖励了,没奖励算了以后都不发乌云了

  11. 2010-01-01 00:00 f4ck 白帽子 | Rank:18 漏洞数:1)

    @f4ckbaidu 哈哈,xsser都保证说有奖励啦,估计也就一个$,你怎么看。

  12. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    @f4ck 就等着一个$拿到手去做大保健

  13. 2010-01-01 00:00 f4ck 白帽子 | Rank:18 漏洞数:1)

    @f4ckbaidu 大表哥,求带上。

  14. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    还没奖?

  15. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    @xsser 收到了,感谢大乌云

  16. 2010-01-01 00:00 f4ck 白帽子 | Rank:18 漏洞数:1)

    @f4ckbaidu 大表哥,带上我大保健。

  17. 2010-01-01 00:00 http://www.wooyun.org/corps/北京链家房地产经纪有限公司 白帽子 | Rank:0 漏洞数:0)