漏洞简介
GoAhead是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的Web Server,多用于嵌入式系统、智能设备。其支持运行ASP、Javascript和标准的CGI程序,这个漏洞就出现在运行CGI程序的时候。
GoAhead这个远程命令执行漏洞出现在运行CGI程序的时候,当用户使用不受信任的HTTP请求参数来初始化CGI脚本环境时会触发漏洞,影响所有开启了CGI脚本支持的用户。
影响范围
2.5.0<=GoAhead<3.6.5
漏洞分析
- GoAhead在接收到请求后,将会从URL参数中取出键和值注册进CGI程序的环境变量,且只过滤了REMOTE_HOST和HTTP_AUTHORIZATION。我们能够控制环境变量,就有很多攻击方式。比如在Linux中,LD_开头的环境变量和动态链接库有关,如LD_PRELOAD中指定的动态链接库,将会被自动加载;LD_LIBRARY_PATH指定的路径,程序会去其中寻找动态链接库。
- 我们可以指定LD_PRELOAD=/proc/self/fd/0,因为/proc/self/fd/0是标准输入,而在CGI程序中,POST数据流即为标准输入流。我们编译一个动态链接库,将其放在POST Body中,发送给http://target/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0,CGI就会加载我们发送的动态链接库,造成远程命令执行漏洞。
即,触发条件为:
1、目标GoAhead服务器CGI是启用的,并且CGI是动态链接。
2、由于该漏洞是基于CGI触发,所以需要知道一个可用CGI,并且可以直接访问不需要认证。
3、该漏洞原理是使用LD_PRELOAD实现函数劫持,所以需要清楚目标系统架构(ARM、i686、MIPS、X86_64)。根据目标系统架构编译对应的.so文件作为攻击payload。
漏洞原理
漏洞产生于goahead/src/cgi.c:cgiHandler中,程序遍历了用户访问时所带的参数,验证如果参数不为REMOTE_HOST或HTTP_AUTHORIZATION,则将其存储至envp数组。
该数组将作为接下来cgi调用的环境变量。可以看出正是这里对于参数的过滤不全,导致了用户可以修改CGI程序的LD_PRELOAD环境变量,致使漏洞存在。
实验工具
**NetCat**
- NetCat是一个非常简单的Unix工具,可以读、写TCP或UDP网络连接(network connection)。它被设计成一个可靠的后端(back-end) 工具,能被其它的程序程序或脚本直接地或容易地驱动。
- 同时,它又是一个功能丰富的网络调试和开发工具,因为它可以建立你可能用到的几乎任何类型的连接,以及一些非常有意思的内建功能。它的实际可运行的名字叫nc。
- netcat是网络界的瑞士军刀,它的主要作用是:提供连接其他终端的方法,可以上传文件,反弹shell等等各种利于别人控制你电脑的操作。
- 常用命令:
· -v 显示详细信息 [使用=vv获取更详细的信息]
· -n 以数字形式表示的IP地址
· -p port 打开本地端口
· -l 监听入站信息
· -d 无命令行界面,使用后台模式
**curl**
curl命令是一个利用URL规则在命令行下工作的文件传输工具。它支持文件的上传和下载,所以是综合传输工具,但按传统,习惯称curl为下载工具。
常用参数:
· -X/--request <command> 指定什么命令
· -T/--upload-file <file> 上传文件
· -d/--data <data> HTTP POST方式传送数据
· curl URL --silent 下载文件输出到终端,不显示进度信息使用--silent选项,显示进度条使用--progress,使用选项-O将下载的数据写入到文件,必须使用文件的绝对地址
实验步骤
这边主要是跟着i春秋的实验平台做了个漏洞验证和利用,关于漏洞复现可详见GoAhead Web服务器远程命令执行漏洞复现。
一、漏洞验证
1、提前定义一个漏洞触发点。
(这个漏洞利用点是在环境cgi目录下放置了一个可执行的perl脚本)
2、使用payload验证漏洞是否存在。
(注意:payload的编译要在和受害者环境相同的系统环境下,可以先使用nmap等工具探测对方的系统环境,再做部署编译)
3、使用curl命令发送编译完成的payload.so。
(curl -X POST --data-binary @payload.so "http://172.16.12.2/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0" -I)
二、漏洞利用
(这一步我们尝试利用这个漏洞,在服务器中写入一个perl脚本,直接在浏览器中访问这个脚本,如果按照设定,该脚本会直接被cgi调用执行。但是我们直接写入的文件在服务器中没有执行权限,我们要额外执行一步,向服务器发送一个数据,增加这个文件的可执行权限。)
1、使用nc监听本地8989端口。
(nc -lv -p 8989)
2、向服务器中写入反弹shell的脚本。
(payload2是在指定路径下写入一个perl脚本,这个脚本内容是反弹shell的。)
3、给反弹shell脚本文件增加可执行权限。
(发个修改文件权限模式的数据包)
4、访问写入的shell,查看监听端口。
漏洞修复
- 检查当前应用程序版本,如果版本小于3.6.5,尽快升级至最新版本或者及时更新官方补丁。
- 修改源码src/cgi.c,根据官方补丁修改161行左右的if内,除了过滤REMOTEHOST和HTTP_AUTHORIZATION,添加过滤IFS、CDPATH、PATH和以LD开头的字符串。
注:实验来源于i春秋实验平台。