傳說中的向日葵遠程命令執行漏洞分析 附件

admin

傳說中的向日葵遠程命令執行漏洞分析
上海貝銳信息科技股份有限公司向日葵個人版for Windows存在命令執行漏洞，攻擊者可利用該漏洞獲取服務器控制權。

測試程序版本為 11.0.0.33162 ，官網目前只開放12.5版本，但是可以遍歷下載ID進行下載
向日葵為C++編寫，使用UPX3.X加殼故此分析前需要進行脫殼處理（github上有UPX項目，  可以直接脫）
向日葵在啟動的時候會隨機啟動一個4W+高位端口，具體在 sub_140E0AAE8 可看到
隨后載入IDA，對CID關鍵字進行搜索
sub_140E20938 、 sub_140E1C954 、 sub_140E1A1F4
往上跟發現分別對應接口
/cgi-bin/rpc 和 /cgi-bin/login.cgi
其中在函數 sub_140E1C954 對應接口功能 /cgi-bin/rpc 中，傳入如下參數即可在未授權的情況下獲取到有效session
在知道被控端的驗證碼和識別碼的情況下傳入如下參數可獲取到session
在知道主機的帳密的情況下通過 /cgi-bin/login.cgi 接口傳入如下參數可獲取到session 并返回設備的公網、內網地址等信息，該接口同時可用作暴力破解

官方已經放出更新，所以就發出來了。
附件
向日葵遠程命令執行漏洞分析.zip (1.22 MB, 下載次數: 48)

2022-2-17 20:21 上傳

點擊文件名下載附件
下載積分: 銀幣 -2