GoAhead 远程命令执行漏洞(CVE-2017-17562)

漏洞简介

GoAhead是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的Web Server,多用于嵌入式系统、智能设备。其支持运行ASP、Javascript和标准的CGI程序,这个漏洞就出现在运行CGI程序的时候。
GoAhead这个远程命令执行漏洞出现在运行CGI程序的时候,当用户使用不受信任的HTTP请求参数来初始化CGI脚本环境时会触发漏洞,影响所有开启了CGI脚本支持的用户。

影响范围

2.5.0<=GoAhead<3.6.5

漏洞分析

  • GoAhead在接收到请求后,将会从URL参数中取出键和值注册进CGI程序的环境变量,且只过滤了REMOTE_HOST和HTTP_AUTHORIZATION。我们能够控制环境变量,就有很多攻击方式。比如在Linux中,LD_开头的环境变量和动态链接库有关,如LD_PRELOAD中指定的动态链接库,将会被自动加载;LD_LIBRARY_PATH指定的路径,程序会去其中寻找动态链接库。
  • 我们可以指定LD_PRELOAD=/proc/self/fd/0,因为/proc/self/fd/0是标准输入,而在CGI程序中,POST数据流即为标准输入流。我们编译一个动态链接库,将其放在POST Body中,发送给http://target/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0,CGI就会加载我们发送的动态链接库,造成远程命令执行漏洞。

即,触发条件为:
1、目标GoAhead服务器CGI是启用的,并且CGI是动态链接。
2、由于该漏洞是基于CGI触发,所以需要知道一个可用CGI,并且可以直接访问不需要认证。
3、该漏洞原理是使用LD_PRELOAD实现函数劫持,所以需要清楚目标系统架构(ARM、i686、MIPS、X86_64)。根据目标系统架构编译对应的.so文件作为攻击payload。

漏洞原理

漏洞产生于goahead/src/cgi.c:cgiHandler中,程序遍历了用户访问时所带的参数,验证如果参数不为REMOTE_HOST或HTTP_AUTHORIZATION,则将其存储至envp数组。
该数组将作为接下来cgi调用的环境变量。可以看出正是这里对于参数的过滤不全,导致了用户可以修改CGI程序的LD_PRELOAD环境变量,致使漏洞存在。

实验工具

**NetCat**
- NetCat是一个非常简单的Unix工具,可以读、写TCP或UDP网络连接(network connection)。它被设计成一个可靠的后端(back-end) 工具,能被其它的程序程序或脚本直接地或容易地驱动。
- 同时,它又是一个功能丰富的网络调试和开发工具,因为它可以建立你可能用到的几乎任何类型的连接,以及一些非常有意思的内建功能。它的实际可运行的名字叫nc。
- netcat是网络界的瑞士军刀,它的主要作用是:提供连接其他终端的方法,可以上传文件,反弹shell等等各种利于别人控制你电脑的操作。
- 常用命令:
· -v               显示详细信息 [使用=vv获取更详细的信息]
· -n              以数字形式表示的IP地址
· -p port          打开本地端口
· -l               监听入站信息
· -d              无命令行界面,使用后台模式
**curl**
curl命令是一个利用URL规则在命令行下工作的文件传输工具。它支持文件的上传和下载,所以是综合传输工具,但按传统,习惯称curl为下载工具。
常用参数:
· -X/--request <command>   指定什么命令
· -T/--upload-file <file>   上传文件
· -d/--data <data>  HTTP POST方式传送数据
· curl URL --silent    下载文件输出到终端,不显示进度信息使用--silent选项,显示进度条使用--progress,使用选项-O将下载的数据写入到文件,必须使用文件的绝对地址

实验步骤

这边主要是跟着i春秋的实验平台做了个漏洞验证和利用,关于漏洞复现可详见GoAhead Web服务器远程命令执行漏洞复现

一、漏洞验证
1、提前定义一个漏洞触发点。
(这个漏洞利用点是在环境cgi目录下放置了一个可执行的perl脚本)
2、使用payload验证漏洞是否存在。
(注意:payload的编译要在和受害者环境相同的系统环境下,可以先使用nmap等工具探测对方的系统环境,再做部署编译)
3、使用curl命令发送编译完成的payload.so。
(curl -X POST --data-binary @payload.so "http://172.16.12.2/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0" -I)

二、漏洞利用
(这一步我们尝试利用这个漏洞,在服务器中写入一个perl脚本,直接在浏览器中访问这个脚本,如果按照设定,该脚本会直接被cgi调用执行。但是我们直接写入的文件在服务器中没有执行权限,我们要额外执行一步,向服务器发送一个数据,增加这个文件的可执行权限。)
1、使用nc监听本地8989端口。
(nc -lv -p 8989)
2、向服务器中写入反弹shell的脚本。
(payload2是在指定路径下写入一个perl脚本,这个脚本内容是反弹shell的。)
3、给反弹shell脚本文件增加可执行权限。
(发个修改文件权限模式的数据包)
4、访问写入的shell,查看监听端口。

漏洞修复

  • 检查当前应用程序版本,如果版本小于3.6.5,尽快升级至最新版本或者及时更新官方补丁。
  • 修改源码src/cgi.c,根据官方补丁修改161行左右的if内,除了过滤REMOTEHOST和HTTP_AUTHORIZATION,添加过滤IFS、CDPATH、PATH和以LD开头的字符串。

:实验来源于i春秋实验平台

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,423评论 6 491
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,147评论 2 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,019评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,443评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,535评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,798评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,941评论 3 407
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,704评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,152评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,494评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,629评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,295评论 4 329
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,901评论 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,742评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,978评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,333评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,499评论 2 348

推荐阅读更多精彩内容

  • 1. Nginx的模块与工作原理 Nginx由内核和模块组成,其中,内核的设计非常微小和简洁,完成的工作也非常简单...
    rosekissyou阅读 10,202评论 5 124
  • 动态链接,在可执行文件装载时或运行时,由操作系统的装载程序加载库。大多数操作系统将解析外部引用(比如库)作为加载过...
    小5筒阅读 5,484评论 0 3
  • 一、温故而知新 1. 内存不够怎么办 内存简单分配策略的问题地址空间不隔离内存使用效率低程序运行的地址不确定 关于...
    SeanCST阅读 7,784评论 0 27
  • 前不久有朋友咨询我如何去写项目阶段性汇报,通过沟通我发现他的核心问题是不知道如何去组织要汇报的内容罢了,于是我就如...
    刚刚的钢阅读 30,494评论 2 14
  • 我在高山之脚, 看山入云端, 看山连绵不断。 白鹤飞过, 唱着仙乐, 说着天上的仙。 一步一步踏着石阶, 听两旁的...
    君兮阅读 255评论 14 7