深澜安全认证网络管理计费系统(Srun 3000) /srun3/srun/services/modules/login/controller/login_controller.php任意文件下载漏

### 0x01 漏洞框架 Srun3000深澜校园宽带客户端是深澜软件面向校园网推出的安全认证网络管理计费产品。 /srun3/srun/services/modules/login/controller/login_controller.php存在任意文件下载漏洞。 影响厂商：深澜软件 官方主页：http://www.srun.com/  深澜软件的Srun 3000 安全认证网络管理计费产品家族由Srun 3000 Gateway System和 Srun 3000 Radius System组成。获得众多用户好评的Srun 3000 Gateway 认证计费系统在 2007年面市（1999年推出了NetCharge 网络管理计费系统，2004年隆重推出了NetCharge 的升级版本Srun 2000安全认证网络管理计费系统，并在此系统基础上于2007年隆重推出Srun 3000 版本），能够高效满足大型宽带部署的高系统容量及高用户和复杂计费策略管理的要求，而在 2008 年面市的Srun 3000 Radius认证计费系统设计用于运营级的系统配置，具备Srun 3000 Gateway 同样全面的特性集，并支持任意BRAS设备及802.1x交换机，能够支持更加全面的认证模式。 Srun 3000 Gateway System为网关型的认证计费系统，其不仅都能够通过独特的方式将高级软硬件结合在一起（硬件网关），而且还可以支持纯软件模式，支持任意的x86架构服务器和刀片服务器，可以允许用户根据自身的预算予以选择，以最小的成本获得最大的价值，其强大的优势在于业内性能最高的网关型计费系统和安全易用的基于B/S架构的体系； Srun 3000 Radius System专为企业和电信运营商网络设计，提供出色的性能和可靠性，能够为网络基础架构提供全力支持，无论流量有多巨大。作为一款能够满足所有AAA服务器要求的单一厂商平台，Srun 3000 Radius System使用RADIUS技术，能够使客户支持、捕获、保存并且共享每名用户的使用数据。 Srun 3000 Gateway System和Srun 3000 Radius System均采用内存数据表的系统架构，用户的认证可以脱离数据库，从而大幅度提高了认证的速度和稳定性，即使数据库出现故障，也不会影响用户的认证，从而在确保性能的可扩展性同时极大的提供了系统的最大的可靠性。 ### 0x02 漏洞细节 版本：版本 Srun3000 [3.00rc14.17.4] 使用量还是相当多的，主要为各大高校:( 漏洞文件 /srun3/srun/services/modules/login/controller/login_controller.php ``` /** * 下载一个文件 * */ // 此处存在任意文件下载漏洞--fuck public function download(){ global $file; $this->model->download_file($file); } ``` download_file文件路径为 /srun3/srun/services/modules/modules.php ``` /** * 下载一个文件 * * @param unknown_type $file */ public function download_file($file) { if (file_exists ( $file )) { $this_base_file = basename ( $file ); header ( "Content-type:application/octet-stream" ); header ( "Accept-Ranges: bytes" ); header ( "Accept-Length: " . filesize ( $file ) ); header ( "Content-Disposition: attachment; filename=\"" . $this_base_file . "\"" ); readfile ( $file ); } } ``` 利用方式： 下载/etc/passwd 如图  Pocsuite：  ### 0x03 参考链接 http://www.wooyun.org/bugs/wooyun-2014-067666