传说中的向日葵远程命令执行漏洞分析 附件
传说中的向日葵远程命令执行漏洞分析上海贝锐信息科技股份有限公司向日葵个人版for Windows存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
测试程序版本为 11.0.0.33162 ,官网目前只开放12.5版本,但是可以遍历下载ID进行下载
向日葵为C++编写,使用UPX3.X加壳故此分析前需要进行脱壳处理(github上有UPX项目,可以直接脱)
向日葵在启动的时候会随机启动一个4W+高位端口,具体在 sub_140E0AAE8 可看到
随后载入IDA,对CID关键字进行搜索
sub_140E20938 、 sub_140E1C954 、 sub_140E1A1F4
往上跟发现分别对应接口
/cgi-bin/rpc 和 /cgi-bin/login.cgi
其中在函数 sub_140E1C954 对应接口功能 /cgi-bin/rpc 中,传入如下参数即可在未授权的情况下获取到有效session
在知道被控端的验证码和识别码的情况下传入如下参数可获取到session
在知道主机的帐密的情况下通过 /cgi-bin/login.cgi 接口传入如下参数可获取到session 并返回设备的公网、内网地址等信息,该接口同时可用作暴力破解
官方已经放出更新,所以就发出来了。
附件
页:
[1]