深信服SSL VPN外置数据中心敏感信息泄漏&SQL注入漏洞可导致getshell

测试版本为SSL 5.7的外置DC,主要有两个问题:
1、管理员sessionid泄漏
2、SQL注入

一、敏感信息泄漏:
Admin用户登录后,会出现一个文件(Admin未登录时此文件不存在)
里面包含了Admin用户的phpsessionid,并且任意用户可访问,如下图:

1
利用方法类似XSS,其它用户将浏览器cookie phpsessionid改成对应的值,再访问/src/index.php就是管理员用户了,无需知道帐号密码
利用fiddler把phpsessionid改成Admin对应的sessionid:
2
再访问/src/index.php,直接登录了:
3
系统设置–环境设置–其它,可以看到服务器绝对路径:
4
二、SQL注入
/src/login.php代码审核:

php class adtLogin代码文件:/src/inc/class/adtLogin.class.php

OpenDb函数定义在/src/inc/class/SinforDbBase.class.php里

注入POC:

提示“用户名或密码不正确”

提示“连接数据库失败”

由于有防爆破登录机制,这里用sqlmap注入会有很大麻烦,需要很长时间

由于mysql用户是root,并且magic_quotes_gpc = Off,系统又是windows,呵呵了,直接getshell:

生成一句话,密码sb,访问地址:https://IP/test.php

具体路径可以利用上面的管理员session泄漏漏洞登录系统后获取
5

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录