传说中的向日葵远程命令执行漏洞分析 附件

admin

传说中的向日葵远程命令执行漏洞分析
上海贝锐信息科技股份有限公司向日葵个人版for Windows存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

传说中的向日葵远程命令执行漏洞分析

测试程序版本为 11.0.0.33162 ，官网目前只开放12.5版本，但是可以遍历下载ID进行下载
向日葵为C++编写，使用UPX3.X加壳故此分析前需要进行脱壳处理（github上有UPX项目，  可以直接脱）
向日葵在启动的时候会随机启动一个4W+高位端口，具体在 sub_140E0AAE8 可看到
随后载入IDA，对CID关键字进行搜索
sub_140E20938 、 sub_140E1C954 、 sub_140E1A1F4
往上跟发现分别对应接口
/cgi-bin/rpc 和 /cgi-bin/login.cgi
其中在函数 sub_140E1C954 对应接口功能 /cgi-bin/rpc 中，传入如下参数即可在未授权的情况下获取到有效session
在知道被控端的验证码和识别码的情况下传入如下参数可获取到session
在知道主机的帐密的情况下通过 /cgi-bin/login.cgi 接口传入如下参数可获取到session 并返回设备的公网、内网地址等信息，该接口同时可用作暴力破解

官方已经放出更新，所以就发出来了。
附件
向日葵远程命令执行漏洞分析.zip (1.22 MB, 下载次数: 48)

2022-2-17 20:21 上传

点击文件名下载附件