飞牛的漏洞是这个原因吗？

不要在猜了，完整攻击链路已经开源了 https://github.com/bron1e/fnos-rce-chain
理论上，低版本系统 只要能打开飞牛 web 就能攻击

可以这么说, 1.18 之前的版本就是裸奔, 只要能访问你的 nas 页面, 所有文件都可以被任意访问. 至于中间用什么加密, 用了什么转发, 没有那么多乱七八糟的, 只要能访问, 就是裸奔了.

@stinkytofux 我想问一下，如果我是仅开内网的飞牛设备，如果我内网里有台其它设备被入侵了，可以访问内网的飞牛后台登录页面，是不是意味着也可以在不输入账号密码的情况下直接浏览文件？

就是系统问题，大多数低版本都有
一个有几十万用户但有问题的系统，开放到公网肯定会出问题，早晚的事
大多数飞牛都是个人使用，自己左右互搏么，虽然 fofa 上看也有个别小公司在用，但那是公用设备

就是你可以通过密码做的，我不需要密码也可以做到。

@ReZer0 当然可以了, 还没搞明白么, 就是飞牛的账号机制形同虚设了, 只要能访问首页, 就能浏览所有文件.

不过内网不用焦虑, 除非针对性的攻击你, 一般不太会通过内网跳板机再去尝试攻击你的飞牛, 你又不是政府要员, 你的 NAS 里面有什么机密么, 谁会花这个心思.

我引用一位 v 友说的原话：

「除了攻击者之外，整个事件中，

- 写出严重漏洞
- 无视并公开 POC
- 过一个月修复
- 不强提醒用户更新
- 美化漏洞严重性
- 误导用户攻击来源不含 fnc
- fnc 被广泛攻击后才关闭

每一个都是飞牛自己的问题」

之前本来就是测试版，防火墙的端口也开了无数。。

飞牛可以绕过密码访问文件系统，和在不在公网没一点关系

前几天漏洞爆出来的时候，我随机访问了几个， 有 2 个是带漏洞的，随便看。 按照我的理解，这个公司的产品应该立即停掉。 说不清是漏洞还是后门。

我没有逆向 fnos 固件，仅根据网上别人的逆向截图和别人的 poc 等公开信息简单说一下。

你理解对，路径穿越。本来是设计的不同尺寸图标读取，加载不同 size 的图标，但是 size 直接就作为文件名拼接在路径后，完全没有任何检查。
而后 web 程序权限是 root,正好什么都能读取了，用户数据裸奔...

然而仅仅只是路径穿越，任意文件读取吗？

它还有自己设计的很特别的鉴权，有几种模式，其中一种：
登陆鉴权是生成一个 16 位的玩意儿，结尾必须是'o'，姑且叫 secret.然后拿着 secret 这玩意儿, 再从 pem 里截取一段，作为 AES 的 key 给这 16 位玩意儿加密。这叫 token 。最后带着 secret, token 一起发给客户端。客户端用 secret 给请求做 hmac 签名。
服务器根本不存什么 token, secret 这些。只要用户发来的 token 解密后最后一位是'o'就去拿着这个东西去算请求的 hmac. 和用户请求中 hmac 对得上就 ok.之前自己生成的 secret 压根就没在用。
反正安全性全部依赖于那个 pem 中截取的密钥。

所以非常不巧，路径穿越能直接读取那个 pem 得到密钥, 就可以自己生成 secret 和 token,伪造 hmac 登录。


最后，后台拉取 docker 镜像的地方存在用分号就可以 RCE 的问题...

于是，实际上这里有三个漏洞，从路径穿越到 getshell ，拿下 root.

然后这一切又因为 FN connect 再次放大问题...我不知道 FNconnect 原理，但是我感觉因为流量走向问题很可能不特殊配置的 waf 也没用。

总之，输入处理有问题，权限设计有问题，用户鉴权有问题，反正就是哪里都有问题，问题甚至是低级问题...一堆问题堆在一起就变成超级大问题。最后处理也有问题...

size 不做验证，直接路径攻击了，出问题的程序还是 root 权限。