漏洞概述

Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统

可能允许攻击者在易受攻击的设备上执行未经授权的操作，攻击者通过向易受攻击的目标发送特制的 HTTP 或 HTTPS 请求进行绕过身份认证以管理员身份在控制面板中执行任意操作

版本影响

7.0.0 <= FortiOS <= 7.0.6
7.2.0 <= FortiOS <= 7.2.1
7.0.0 <= FortiProxy <= 7.0.6
FortiProxy = 7.2.0
FortiSwitchManager = 7.0.0
FortiSwitchManager = 7.2.0

环境搭建

登录系统

count:admin
passord:(没有密码，直接回车)
需要自己重新设置密码

配置网卡

选择自定义的VMnet8（NAT模式）

保证配置forigate-vm的网关要和这里的保持一致

保证主机的网关地址也是192.168.159.2

配置指令

#配置ip地址
config system interface
set mode static
set ip 192.168.159.3 255.255.255.0
set allowaccess http https ping ssh
end
#配置网关
config router static
edit 1
set device port1
set gateway 192.168.159.2
end

浏览器登录

输入127.168.159.3登录（vm主机刚刚设置的账号密码）

登录验证

在官网注册账号获取免费的账号

https://support.fortinet.com/cred/#/sign-up

成功登录

漏洞分析

提取关键系统文件

提取rootfs.gz

利用diskGenius对固件进行挂载提取

将这里的rootfs.gz和flatkc提取出来（这里的文件提取有点问题，因为权限问题没有提取成功），所以我用7-zip提取出来

gunzip解压rootfs.gz

（使用的时候使用py3.6版本，否则会出现报错）

sudo update-alternatives --config python3

对这里的bin.tar.xz

这里的bin.tar.xz没法用这标准的xz解压，只有看看这里有没有自带的解压器，把他patch使用

find . -name xz
./sbin/xz --decompress *.xz

可以看到依然报错，是这里的libc版本问题，我ubuntu不方便，放到kali进行更新

sudo apt update
sudo apt upgrade libc6

可以看到解压成功了

tar -xf bin.tar

进去就看到了我们需要的httpsd文件

漏洞利用

创建SSH-KEY

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo2kKhLpYKU36ozgFpOeSTkjUJNuiflcuH8CMdHkQQEvqXpYB9vfLjzW8HDg0DYB1MIJFSkWRA0+yGXMm5Z+9/p2u+zRnk6MGgY8gCdSlqNYGdlcLvCd4HI2N165afQc8xBnjWUJ7ld5SF0fyqgTFA9zv9YOd6pfy+CfYsUMIgtnsdrjf+A5nhm9+M2rvJ/hOhBTKpi7qwBtjCPj7oytlQpFv8VA508gQRS34kosq5lH7NtjDxDa7n236n6WLb5e572lY4Re+VtCk6gK6GYIOsE3gPDzK1y/vgdfTrm69vGoSsG3LKTJJL6VMfBe9XatnZrsBSTanad9KvpPQR7dhQw==

bp抓包