奇安信攻防社区-漏洞挖掘从黑盒到白盒-上篇

漏洞挖掘从黑盒到白盒-上篇

本文讲解针对某个网络设备的漏洞挖掘，如何从黑盒测试到权限获取，从哪些角度对二进制文件进行分析获取更大的权限

一个经典的问题，一个登录框你能测试哪些点位？

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756882152530-e354921c-fa3f-4eb2-a8d1-e0a3e39d9bc1.png)

不废话了，这个产品老版本的漏洞还是有几个的，但是挖就挖新的，因为这个产品大多数还是处于2.x阶段，所以有一个漏洞还是值得关注的，因为在老版本中这个漏洞是未授权且明文的，但是在2.x版本已经做了加密处理

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756884431112-6f53c4bb-0229-4a30-91d4-0bd94002b720.png)

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756884397797-969709ee-c100-4289-b8f9-b6c9f103e1b4.png)

虽然加密了，但是未授权的问题没有解决，这个文件是网络设备登录需要从这里读用户名和密码，所以只需要查看登录的代码

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756885031302-f47ea9fa-9c25-4ed7-93e5-2fb18dbe9eb2.png)

可以看到，登录请求里调用了readini.php，这里不得不说一句，虽然这个设备使用到了php代码，但是实际上大多数的文件只是起到web展示的用途，实际上的功能在其他二进制文件里面，一会会给大家进行展示

继续往下看，可以看到用户校验逻辑

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756885322264-3c26e698-d488-4d70-a0a8-236ed84cf11a.png)

可以看到，登录实际走的是socket.php这个文件(先提一嘴，这个文件很重要)，解密函数使用encrypt函数进行解密，登录成功后跳转的实际url为xxxigation.php

通过追踪encrypt函数，发现这个函数实际在readini.php里面

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756885457891-8d72fff8-e6c5-4c2b-b0a0-0ff88a18e044.png)

解密函数很简单粗暴，所以我们不需要读懂这个是什么意思，直接把代码抠出来，然后将加密后的用户名和密码放进去直接解密即可，解密效果如下

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756885540640-20d1bc8e-4f6b-4a56-a0ca-57d21bc8bbef.png)

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756885881293-c6d0c60a-8179-41b6-a061-1ef7cd264b96.png)

如此这般，即可利用未授权访问，拿到所有2.x的用户名以及密码，实现一个登录密码获取的操作，为什么没说3.x？因为3.x对这个文件目录进行了隐藏，没有办法访问到，但是文件也是确实存在，只不过3.x所有的密码都换了一个，那么如何实现对所有的设备登录呢？

上面我们提到，登录成功后跳转的实际url为xxxigation.php，那么代码是什么样子的

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756886628665-d99538b5-02cf-482c-a02e-0625469d58cb.png)

我们可以看到，实际上他在校验登录状态的时候，如果没检测到登录，会自动跳转到index.php，我们可以直接以未授权的方式访问一下这个接口

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756886884008-bac47cc5-235e-4222-8423-fd2964607b6d.png)

不难发现，确实是直接跳转到了登录的页面，但是也能看到，实际上数据是存在的，那么只需要把这个跳转的动作给消掉，是不是就可以越过登录这一步呢？

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756886990929-2e5e2b8e-85ac-41d3-82be-9f80f60636f9.png)

可以看到，成功了，并且这个时候是没有登录状态的。但是点击其他功能就会因为没有登录状态导致跳转到登录页面，所以为了可以一劳永逸，只需要设置burpsuite的自动替换

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756887118859-9caa9a1e-1475-42eb-bc6e-39d2bd3ae336.png)

只需要设置替换，即可绕过所有不同版本设备的登录认证，包括最新的3.x版本

后来发现，所有的接口都存在这个问题，甚至后续的接口绝大多数都没有校验登录状态，导致可以直接访问

那么后续就比较简单而后粗暴了，访问一下设备的功能点，看看有哪些功能可能存在潜在的漏洞，因为这个是黑盒测试，代码和二进制文件实际上是拿到了权限才能得到的，所以请耐心跟着思路走

第一眼看到的，其实就是ping测试，因为根据以往的经验，这里出现命令注入的可能性非常高

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756887556156-abaa8c2d-9a72-4b66-9897-417e8316cb08.png)

经过测试，这里的确是存在命令注入漏，但是利用的效果非常的不妙

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756887672912-967a2d85-21a3-4225-8be8-2bd3aa3bc4ed.png)

可以看到，目前只能以`command`.xx.xx.xx.xx的这种方式进行命令注入，并且也仅仅能回显一行，非常的鸡肋

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756887742198-a0521007-dd27-4c6d-879c-b97628c98260.png)

经过测试，执行的指令不能是多个，比如说执行一下ls -la 这种。执行一下ls ../这种都是不行的，所以说虽然存在漏洞，但是利用的空间很有限，但是毕竟拿到了一个点位，所以还是分析一下漏洞

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756887912675-4f45b43a-b407-4906-a5ce-d585d5f0a084.png)

可以看到，依然是加载socket.php这个文件，而后判断ping.txt是否存在，如果不存在就创建一个，虽然使用 了system函数，但是因为这里不可控，所以不存在风险；

而这个代码只能看到参数的传递，看不到漏洞的声音，所以我们持续关注$REP=$SC-&gt;eachMsg("PIN$PINGCNT:$PINGLEN:$SourceIP:$PINGIP");

这个函数存在于socket.php文件，打开socket.php文件进行分析发现，这只是一个利用socket进行传递的东西，依然不是实际的点位

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756888059934-6e3a25cd-9aea-4216-940c-ecaac66ec5d6.png)

所以说这个时候，就需要找到实际的文件在哪里，后来发现了一个二进制文件，xxxxonitor，使用ida打开这个文件

![](https://cdn.nlark.com/yuque/0/2025/png/23044343/1756888929105-d6e15031-9fd5-4f3d-8ff7-4c2ea7c076c0.png)

可以看到，程序通过sprintf函数将传入的参数进行格式化输出给s\_6，而后利用system函数直接执行，导致此处存在命令注入漏洞

```php
sprintf(
                          s_6,
                          "/root/ping.shell start %s %s %s %s &",
                          (const char *)&s_,
                          (const char *)&dest_,
                          (const char *)s_3,
                          (const char *)&dest__4);
                        system(s_6);
```

但是不知道为啥，实际上只有ping\_ip参数可以执行，而且很有限

不过在上面看到了strcpy以及sprintf，貌似都没有经过什么限制，所以这里同时可能会存在栈溢出漏洞，由于栈溢出漏洞会导致系统死掉，所以这里不进行演示  
继续审计代码，发现了结束后的操作

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/09/attach-596fc3430dd78b77db0f1f4685c8b836495a3cd2.png)

因为知道这个eachMsg("PSP"); 代码其实是和xxxxonitor这个二进制文件相关联的，所以

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/09/attach-266f76d6b545362197e63941ea3c2812b0240f60.png)

直接检索

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/09/attach-892993e2bd4bd530b808b1627a3367adcd890f26.png)

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/09/attach-32533b54d091ed91161834372b7a80a5ba295610.png)

直接查看伪代码

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/09/attach-6f0d94c70333373bd9e348d16bfe8493f1d26a5b.png)  
这段代码实现了一个简单的**命令响应协议**：

1. 当服务端接收到以 `"PSP"` 开头的命令时
2. 记录日志
3. 执行 `/root/ping.shell stop` 命令（可能是停止某个监控或服务）
4. 回复确认响应 `"PSPCB"`
5. 根据发送结果进行错误处理或继续执行

而后查看到/root/ping.shell ，也知道为什么执行结束后会把执行结果写入到ping.txt

![图片.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/09/attach-c5bd81cdbd5ce99b191db56dc3bbb7fa3ad53ddc.png)

为了不让篇幅过长，所以后续会出下一篇，专门讲述后续挖掘到的其他命令注入漏洞

发表于 2025-09-28 09:00:00
阅读 ( 586 )
分类：漏洞分析

漏洞挖掘从黑盒到白盒-上篇

0 条评论