password
status
date
icon
category
tags
slug
summary
0x00 介绍
今天这么热闹也趁机跟着大佬们分析一波。
0x01 漏洞版本分析
看样子 11.x 应该都是有的,随便找了个下载站下载了个旧版本
PEID 识别不出来什么壳,不过看 EP 段或者提取下字符串就能看出来是 UPX 壳了。
UPX 自动脱壳即可
通过日志文件找到开启的端口的关键词
直接访问内容如下
在 IDA 上定位到了这里,我的评价是
看到监听 0.0.0.0:0
端口号 0 是一个预留的端口号,代表的意思就是它在TCP或者UDP网络传输中应该不会被用到。但是在网络编程中,尤其是在unix socket编程当中,它有一些特殊的含义。在unix socket编程当中,端口号 0 是一种由系统指定动态生成的端口。
在 Windows 和 Linux 上,如果将套接字绑定到端口 0,内核将为其分配一个高于 1024 的空闲端口号。
可以通过
netsh int ipv4 show dynamicport tcp 查看 windows 的分配范围
默认是这样的
那想要利用就得进行大范围端口扫描了,从 49152 扫到 65535 ?感觉挺费劲的。 而且还要考虑到这个配置有些时候不是从 49152 开始的,写扫描的时候可以考虑先从 49152 开扫,扫不到再从 1024 开扫,应该能节省点时间。
先康康认证参数 CID
IDA 搜索结果如下
根据 CID 网上找会返回 CID 的地方
发现接口
/cgi-bin/rpc
正常逻辑应该是需要 4 个参数才能返回 CID 的,4 个参数分别是
username、password、ctrlclient、verify-haras 正常来说肯定要四个参数都齐才返回认证,但是这里不需要 username、password 也返回认证。
不知道新版怎么修复的,要是加上账号密码检测的话是不是可以爆破。
获取 CID 的途径还有几个
正儿八经的用识别码和验证码获取
还有个登录接口也返回 CID
???这个接口校验的不是向日葵自己的账号密码,反而是 Windows 的密码?那这妥妥的有爆破的风险啊。越来越想看看最新版怎么修复的了。
然后该 RCE 了
找到了两个可能 RCE 的地方
一个是 check 接口
限制为只能执行以 ping 或者 nslookup 开头的命令
看到这种限制:
这我不是乱杀?
不过这中文乱码是真的恶心
另一个是
限制是有CID,命令要拼接在
文件名 --mod=fastcontrol --fastcode=后面。一开始以为乱杀的,但是实际上好像不是这样
火绒确实监控到执行了这条命令。但实际上并没有效果,把火绒监控到的放到 cmd 里执行是可以的。。。。。。感觉触及我的知识盲区了
问了大佬得知这里是因为只能在运行参数插内容,具体原理和有没有解决的办法需要再学习下。
应该是没有办法执行的,向日葵支持的命令行参数很少,都不涉及命令执行。
0x02 自动化利用工具
这个其实挺好写的
端口扫描
先从49152 扫到 65535(一般扫几百个就有了),怕扫不全可以再从 1024 扫到 49152。
识别端口
这个也好说,检测返回值里有没有
Verification failure 就可以了
命令执行
请求
/cgi-bin/rpc?action=verify-haras得到 CID
Cookie 带上 CID 请求
/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+命令执行命令
0x03 最新版本分析
最新版直接把端口干掉了,那没事了。
之前的端口应该是给手机版向日葵控制局域网设备用的,现在手机版这个功能直接报废了。
不过我认为这应该是临时的解决方案,等到这个功能再上线的时候看看有没有能利用的点。
0x04 免杀
研究着向日葵突然不能用了,可能是官方把旧版干掉了?
- 作者:fatekey
- 链接:https://blog.fatekey.icu/article/xrkrce
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。