這篇文章將為大家詳細(xì)講解有關(guān)如何利用Drupal漏洞并通過惡意圖片實(shí)現(xiàn)一鍵RCE,文章內(nèi)容質(zhì)量較高,因此小編分享給大家做個(gè)參考,希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。
建網(wǎng)站原本是網(wǎng)站策劃師、網(wǎng)絡(luò)程序員、網(wǎng)頁設(shè)計(jì)師等,應(yīng)用各種網(wǎng)絡(luò)程序開發(fā)技術(shù)和網(wǎng)頁設(shè)計(jì)技術(shù)配合操作的協(xié)同工作。成都創(chuàng)新互聯(lián)專業(yè)提供網(wǎng)站制作、成都網(wǎng)站制作,網(wǎng)頁設(shè)計(jì),網(wǎng)站制作(企業(yè)站、自適應(yīng)網(wǎng)站建設(shè)、電商門戶網(wǎng)站)等服務(wù),從網(wǎng)站深度策劃、搜索引擎友好度優(yōu)化到用戶體驗(yàn)的提升,我們力求做到極致!
近期,Drupal發(fā)布了兩個(gè)針對(duì)7.x和8.x版本的關(guān)鍵漏洞修復(fù)補(bǔ)丁。攻擊者可以利用這兩個(gè)漏洞來實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,但他們首先要將惡意圖片上傳至遠(yuǎn)程服務(wù)器,并通過一系列偽造鏈接來欺騙已認(rèn)證的網(wǎng)站管理員來幫助他們實(shí)現(xiàn)代碼執(zhí)行。雖然這種方式比較“曲折”,但這也已經(jīng)足夠了。
這兩個(gè)漏洞編號(hào)分別為ZDI-19-130和ZDI-19-291,將這兩個(gè)漏洞組合使用后,攻擊者將能夠?qū)崿F(xiàn)一鍵式代碼執(zhí)行。在賬戶注冊(cè)的過程中,攻擊者可以將嵌入了惡意代碼的圖片以頭像的形式上傳,也可以在論壇的評(píng)論區(qū)上傳。已禁用用戶注冊(cè)和用戶評(píng)論功能的Drupal網(wǎng)站不會(huì)受到這種攻擊的影響,請(qǐng)廣大網(wǎng)站管理員盡快將自己的Drupal站點(diǎn)升級(jí)為最新版本。
其中,ZDI-19-130是一個(gè)PHP反序列化漏洞,該漏洞將允許攻擊者利用網(wǎng)站管理員來實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,而ZDI-19-291是一個(gè)持久型XSS漏洞,攻擊者可以利用該漏洞強(qiáng)迫網(wǎng)站管理員發(fā)送惡意請(qǐng)求,并觸發(fā)漏洞ZDI-19-130。
關(guān)于ZDI-19-130的利用原理可以參考Thomas在今年Black Hat上的演講【白皮書】,或參考Thomas在BSidesMCR上的 演講內(nèi)容。簡而言之,這是一種通過Phar文件觸發(fā)PHP反序列化漏洞的一種新方法,PHP Phar文件的元數(shù)據(jù)會(huì)以PHP序列化對(duì)象的形式存儲(chǔ),針對(duì)Phar文件的文件操作會(huì)觸發(fā)服務(wù)器在已存儲(chǔ)的元數(shù)據(jù)上執(zhí)行反序列化-unserialization()操作,并最終導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
漏洞ZDI-19-291則是Drupal在處理已上傳文件的文件名過程中存在的一個(gè)漏洞,該漏洞與PCRE-Perl兼容的正則表達(dá)式有關(guān)。當(dāng)用戶上傳文件時(shí),Drupal會(huì)使用PRCE來修改文件名,以避免文件名重復(fù)。但是如果多次上傳文件,Drupal就會(huì)刪除文件的擴(kuò)展名,并導(dǎo)致攻擊者可以上傳任意HTML文件。
這份PHP代碼段可以用來測(cè)試Drupal的部分源碼:【點(diǎn)我獲取】。
根據(jù)源碼的注釋,下面這段代碼會(huì)嘗試刪除文件名中值小于0x02的ASCII控制字符,并將其替換成下劃線(‘_‘)。代碼中的’/u’表示PHP引擎會(huì)將PCRE表達(dá)式以及相關(guān)字符串以UTF-8編碼進(jìn)行處理:
攻擊第一階段測(cè)試結(jié)果:
其中,\xFF字節(jié)已經(jīng)失效,\x80字節(jié)沒有有效的起始字節(jié),PHP拋出了一個(gè)“PREG_BAD_UTF8_ERROR”錯(cuò)誤,$basename變量被設(shè)置為了NULL。
在Drupal源碼中,執(zhí)行完preg_replace()后不會(huì)進(jìn)行錯(cuò)誤檢查。當(dāng)一個(gè)帶有無效UTF-8字符文件名的圖片上傳至Drupal兩次時(shí),該函數(shù)將會(huì)使用$basename變量值來運(yùn)行,并將其視作空字符串來處理。最后,函數(shù)會(huì)返回$destination,也就是’_’.$counter++的結(jié)果。
這樣一來,攻擊者就可以通過用戶注冊(cè)功能向Drupal網(wǎng)站上傳一個(gè)GIF圖片,然后Drupal會(huì)用以下方式存儲(chǔ)圖片:
/sites/default/files/pictures//_0
而不是默認(rèn)存儲(chǔ)方式:
/sites/default/files/pictures//profile_pic.gif
雖然應(yīng)用會(huì)對(duì)上傳圖片的屬性進(jìn)行檢測(cè),但添加“GIF”或“.gif”字樣已經(jīng)可以滿足檢測(cè)條件了。
另一種方法是通過評(píng)論編輯器上傳惡意GIF文件。這種情況下,圖片會(huì)被存儲(chǔ)至/sites/default/files/inline-images/_0。但是,攻擊者在評(píng)論某篇文章之前注冊(cè)一個(gè)用戶賬號(hào)。
攻擊者將惡意GIF/HTML文件上傳至Drupal服務(wù)器之后,可以欺騙瀏覽器將文件以HTML頁面的形式呈現(xiàn)出來:
此時(shí),攻擊者將可以在目標(biāo)Drupal站點(diǎn)上實(shí)現(xiàn)持久化XSS攻擊了。通過利用這種漏洞,攻擊者將能夠強(qiáng)迫擁有管理員權(quán)限的用戶發(fā)送攻擊第二階段的惡意請(qǐng)求。
可執(zhí)行PoC:【點(diǎn)我獲取】
ZDI-19-130是一個(gè)反序列化漏洞,可以通過/admin/config/media/file-system節(jié)點(diǎn)的file_temporary_path請(qǐng)求參數(shù)來觸發(fā)。攻擊者還可以指定“phar://”流封裝器來讓file_temporary_path請(qǐng)求參數(shù)指向攻擊者上傳至Drupal服務(wù)器的惡意Phar文檔。
下面的system_check_directory()函數(shù)是表單回調(diào)函數(shù),負(fù)責(zé)處理用戶請(qǐng)求。根據(jù)我們的研究,“!is_dir($directory)”可以直接讓PHP觸發(fā)針對(duì)Phar文檔中元數(shù)據(jù)的反序列化操作。通過POP鏈利用技術(shù),攻擊者將能夠使用專門制作的Phar文檔來在Web服務(wù)器中實(shí)現(xiàn)任意代碼執(zhí)行。
在利用ZDI-19-130之前,我們需要上傳一個(gè)Phar文檔,我們可以在用戶注冊(cè)階段將JPEG/Phar Polyglot文件以用戶頭像的形式上傳。下面給出的是一個(gè)JPEG/PharPolyglot文件樣本,它會(huì)執(zhí)行cat /etc/passwd命令,并利用漏洞ZDI-19-130。
Phar文檔跟JAR文件很像,它是一個(gè)組件包集合文件。在我們的漏洞利用場景中,使用的是基于TAR的Phar文檔。
為了創(chuàng)建Polyglot文件,攻擊者需要選擇一個(gè)JPEG圖片向量?;赥AR的惡意Phar文檔需要存儲(chǔ)在JPEG文件開頭的JPEG注釋域中。需要注意的是,我們需要修復(fù)TAR文件的校驗(yàn)碼,否則TAR文件會(huì)崩潰。
關(guān)于如何利用Drupal漏洞并通過惡意圖片實(shí)現(xiàn)一鍵RCE就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò),可以把它分享出去讓更多的人看到。