锐捷易网关远程命令执行-棉花糖会员站

—
title: ‘锐捷易网关远程命令执行’
date: Sat, 29 Aug 2020 13:23:03 +0000
draft: false
tags: [‘白阁-漏洞库’]
—

#### 漏洞说明

在web管理页面上，使用管理员的用户名密码登录设备后，可通过web页面执行部分操作命令，设备上有接口来读取这些操作命令的返回值。接口对返回值中存在的恶意指令过滤不充分，导致设备可以通过CLI被远程执行一些恶意指令，对设备正常运行造成影响。

#### 影响范围

目前仅网关产品的11x版本存在此问题，10.x版本未发现此问题。 ![](/static/baige/04-厂商漏洞/锐捷易/https://www.bylibrary.cn/wp-content/uploads/2020/08/a.png)

#### 漏洞详情

web页面的管理员用户名、密码泄漏，且http登录访问成功的情况下会发生。进入锐捷易网关登录界面，抓取一个登录数据包： ![](/static/baige/04-厂商漏洞/锐捷易/https://www.bylibrary.cn/wp-content/uploads/2020/08/b.png)

发现参数中有command=执行的命，strurl=应该是当前的运行模式挖掘后发现有exec和config等，mode=priv\_exec直接特权模式

输入 sh run命令进行尝试，可查看到有相应的用户信息： ![](/static/baige/04-厂商漏洞/锐捷易/https://www.bylibrary.cn/wp-content/uploads/2020/08/c.png) 注意到这里有一个webmaster level 0 1 2，通过了解0的级别是最高的，也就是权限是最好的，1和2 依次减低。

尝试通过执行webmaster level 0 username guest password guest来提升权限，需要把strurl改成config即可执行成功。 ![](/static/baige/04-厂商漏洞/锐捷易/https://www.bylibrary.cn/wp-content/uploads/2020/08/d.png) 再查看show run最下面发下有telnet的密码信息： ![](/static/baige/04-厂商漏洞/锐捷易/https://www.bylibrary.cn/wp-content/uploads/2020/08/e.png)

之后就可通过telnet进入，再配置一个VPN账号后就可进行内网漫游： ![](/static/baige/04-厂商漏洞/锐捷易/https://www.bylibrary.cn/wp-content/uploads/2020/08/f.png)

#### 特征：

版本：锐捷易网关产品11x版本协议：http协议，默认端口80 流量探测参数中包含：command=、strurl=、 exec、 config、mode=priv\_exec 流量提权参数：webmaster level 0 username guest password guest 相关设备命令：show run、sh run 新增异常VPN账号

文章版权归作者所有，未经允许请勿转载。

THE END