本文详细分析了齐治堡垒机前台远程命令执行漏洞(CNVD-2019-20835),包括漏洞的基本信息、源代码分析、漏洞利用方式以及修复建议。用户可控的变量导致了命令注入,通过特定payload可以实现getshell。修复方案是对变量$node_id进行整数过滤。
一、基本信息
漏洞公告:https://www.cnvd.org.cn/flaw/show/1632201
补丁信息:该漏洞的修复补丁已发布,如果客户尚未修复该补丁,可联系齐治科技的技术支持人员获得具体帮助。
二、源代码分析
问题出现在ha_request.php文件,第37行的exec函数,$url为用户可控的变量,可见第33和34行。目光来到第23和24行,只要node_request函数的返回值为“OK”,即可跳过fatal函数(此函数为自定义函数,作用类似PHP内置的exit函数),继续往下执行。
Node_request函数的定义在include/common.php文件中,见下图2。按照其原本的逻辑,其作用是请求$url,并返回其内容。根据代码逻辑,$url = "http://$req_ipaddr"."/listener/$method.php?n=$req_node_id&a=".urlencode(json_encode($args));。所以$url变量值类似于http://10.20.10.11/listener/cluster_manage.php?n=1&a=%5B%22install%22%5D这样的字符串。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
