1. 极安网首页
  2. 网络安全技术

rConfig远程代码执行漏洞分析

rConfig远程代码执行漏洞分析-极安网

漏洞概述

rConfig是一款开源的网络设备配置管理实用工具,在rConfig的帮助下,网络工程师可以快速、频繁地管理网络设备的快照。

但是研究人员近期在rConfig中发现了两个未经身份验证的远程RCE漏洞。其中一个漏洞允许未经认证的用户实现身份验证,而另一个漏洞则允许经过认证的攻击者在目标设备上实现任意代码执行。

影响系统

rConfig v3.96及其之前版本。

厂商回应

厂商最初的反应非常迅速,并且立刻发布了一个更新版本(v3.9.6),我们最初是在v3.9.5上验证了该漏洞。但是我们发现,v3.9.6版本中同样存在安全漏洞,并将此情况反应给了厂商。目前为止,我们还不知道有没有安全补丁能够解决或缓解这两个漏洞所带来的影响。

漏洞分析

ajaxArchiveFiles.php RCE

在文件/home/rconfig/www/lib/ajaxHandlers/ajaxArchiveFiles.php中,有一个ext参数,这里存在一个命令盲注漏洞。

攻击者可以发送下列请求内容来触发这个漏洞:

rConfig远程代码执行漏洞分析-极安网

ajaxEditTemplate.php RCE

第二个远程代码执行漏洞存在于rConfig的链接模板配置页面中,在这里,攻击者将有可能在文件中注入PHP代码,并调用../www/test.php。此时,攻击者将能够从外网访问到这个文件,如果目标文件名不是以.yml为后缀的话,rConfig会自动添加该后缀,因此攻击者将能够通过https://rconfig/test.php.yml来调用或访问test.php文件。

rConfig远程代码执行漏洞分析-极安网

updater.php RCE

第三个RCE漏洞存在于https://rconfig/updater.php?chk=1中,因为updater.php中缺少必要的验证机制,如果我们获取一个真正的rConfig ZIP并添加一个PHP WebShell到这个ZIP中,然后上传并安装的话,我们将会发现,程序中会出现一个新的管理员凭证,即admin:admin,这个WebShell就很Nice!

rConfig远程代码执行漏洞分析-极安网

userprocess.php身份认证绕过

第一个认证绕过漏洞存在于/home/rconfig/www/lib/crud/userprocess.php的注册函数中,由于这里没有要求强制进行身份验证,所以我们可以创建我们自己的管理员用户了(ulevelid = 9)。

useradmin.inc.php身份认证绕过

第二个认证绕过漏洞同样存在于刚才那个文件之中,通过利用https://rconfig/useradmin.inc.php中的信息泄露问题,我们可以知道rConfig实例中存在的用户凭证,这样我们就可以更新账号的配置,其中也包括密码。

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/2737.html