简言
飞牛私有云 fnOS 是一款基于 Debian Linux 内核深度开发的国产 NAS 操作系统,因其免费正版和丰富的应用生态,吸引了大量用户关注。然而,近期曝出其存在一个严重的 0day 漏洞,攻击者可以利用此漏洞访问 NAS 设备上的任意文件,包括系统关键配置和用户的私人存储文件。
漏洞复现:路径遍历读取任意文件
首先,我们从 Kali Linux 系统访问飞牛 NAS 的 Web 管理界面(IP: 192.168.50.88:5666),并使用 Burp Suite 拦截浏览器流量。
在 Burp Suite 的 Repeater 模块中,我们可以构造并发送测试 payload。漏洞点位于 /app-center-static/serviceicon/myapp/{0}/?size= 这个路径,其 size 参数存在路径遍历问题。
1. 遍历系统根目录
构造第一个 PoC,尝试跳出目录访问根路径:
/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../../发送请求后,服务器响应中直接列出了根目录下的文件和文件夹列表,如 bin、boot、etc、home 等,证明目录穿越成功。
2. 读取 /etc/passwd 文件
既然可以访问任意路径,读取系统敏感配置文件便成为可能。我们尝试获取 /etc/passwd 文件:
/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../../etc/passwd
发送请求后,服务器返回了 /etc/passwd 文件的完整内容,其中包含了系统所有用户账户信息。
3. 读取 /etc/shadow 文件
/etc/shadow 文件存储了用户的加密密码哈希,是更核心的敏感文件。使用同样的方法构造 payload:
/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../../etc/shadow如图所示,攻击者成功获取到了 shadow 文件的内容,这为后续的密码破解和权限提升打开了大门。
4. 浏览器直接访问
该漏洞甚至无需专业工具,直接在浏览器地址栏中输入构造好的 URL 即可触发,降低了攻击门槛。访问后,页面会以目录列表或文件内容的形式展示结果。
发现1条评论
Hi there, I desire to subscribe for this webpage to take most up-to-date updates, therefore where can i do it please help.