漏洞分析CVE202220705ImproperSessionManagementVulnerabilityCVE202220707CommandInjection参考链接前言 这个RCE漏洞利用链的实现是由几个逻辑洞的结合而导致的,这几天我花了一些时间复现了一遍,在此记录一下。固件解压 我下载的是RV345v1。0。03。24,从官网下载到压缩包解压之后可以看到它的rootfs是ubi格式的img。之前我都是使用kali里的binwalk对其进行解压可以直接得到解压之后的文件系统。但是由于前几天我的虚拟机坏了,不得不进行重装,但是我还没有装kali。故找了一下提取ubi格式的方式。在github上有一个项目:https:github。comnlitsmeubidump,通过里面的ubidump。py可以很轻松地提取出ubi格式的文件。命令如下:python3ubidump。pys。0。ubi漏洞分析CVE202220705ImproperSessionManagementVulnerability CVE202220705ImproperSessionManagementVulnerability,是由于nginx的配置不当导致的。nginx的配置文件是etcnginxnginx。conf,如下userwwwdata;workerprocesses4;errorlogdevnull;events{workerconnections1024;}http{accesslogoff;errorlogvarlognginxerror。logerror;upstreamjsonrpc{server127。0。0。1:9000;}upstreamrest{server127。0。0。1:8008;}Forwebsocketproxyserverincludevarnginxconf。dproxy。websocket。conf;includevarnginxsitesenabled;} 可以发现它又加载了:varnginxconf。dproxy。websocket。conf和varnginxsitesenabled,但是固件解压出来的rootfs里的var目录有些问题,所以笔者只能根据别人的文章找一下漏洞发生的配置文件。结合rest。url。conf和proxy。conf来看。locationapi{proxypasshttp:rest;includevarnginxconf。dproxy。conf;}locationapioperationsciscosbfile:filecopy{proxypasshttp:rest;includevarnginxconf。dproxy。conf;proxyreadtimeout3600;proxysendtimeout3600;}locationapioperationsciscosbfile:formfileupload{setdeny1;if(httpauthorization!){setdeny0;}if(deny1){return403;}uploadpassformfileupload;uploadstoretmpupload;uploadstoreaccessuser:rwgroup:rwall:rw;uploadsetformfielduploadfieldname。nameuploadfilename;uploadsetformfielduploadfieldname。contenttypeuploadcontenttype;uploadsetformfielduploadfieldname。pathuploadtmppath;uploadaggregateformfielduploadfieldname。md5uploadfilemd5;uploadaggregateformfielduploadfieldname。sizeuploadfilesize;uploadpassformfield。34;;uploadcleanup400404499500505;uploadresumableon;}locationrestconf{proxypasshttp:rest;includevarnginxconf。dproxy。conf;}locationrestconfoperationsciscosbfile:filecopy{proxypasshttp:rest;includevarnginxconf。dproxy。conf;proxyreadtimeout3600;proxysendtimeout3600;}proxyhttpversion1。1;proxysetheaderHosthttphost;proxysetheaderXRealIPremoteaddr;proxysetheaderXForwardedForproxyaddxforwardedfor;proxysetheaderXForwardedProtoscheme;proxysetheaderAuthorizationhttpauthorization;proxysetheaderAcceptEncoding;proxysetheaderConnection;proxysslsessionreuseoff;servernameinredirectoff; 如果我们请求中Authorization不为空,此时setdeny0,就可以向下调用upload模块。它会在调用formfileupload前,把文件上传到tmpupload下。并且由于没有设置level,它的存储格式类似tmpupload0000000001。至此我们可以实现任意文件上传至tmpupload。 我们接着向下分析,可以在rootfsetcnginxconf。d下找到web。upload。conf如下:locationformfileupload{includeuwsgiparams;proxybufferingoff;uwsgimodifier19;uwsgipass127。0。0。1:9003;uwsgireadtimeout3600;uwsgisendtimeout3600;}locationupload{setdeny1;if(ftmpwebsessiontokencookiesessionid){setdeny0;}if(deny1){return403;}uploadpassformfileupload;uploadstoretmpupload;uploadstoreaccessuser:rwgroup:rwall:rw;uploadsetformfielduploadfieldname。nameuploadfilename;uploadsetformfielduploadfieldname。contenttypeuploadcontenttype;uploadsetformfielduploadfieldname。pathuploadtmppath;uploadaggregateformfielduploadfieldname。md5uploadfilemd5;uploadaggregateformfielduploadfieldname。sizeuploadfilesize;uploadpassformfield。34;;uploadcleanup400404499500505;uploadresumableon;} 我们可以发现其对upload进行了cookiesessionid的检验,但是并没有对formfileupload进行检验。我们看一下formfileupload的后端处理程序。启动脚本(uwsgilauncher)如下:!binshetcrc。commonexportUWSGIPLUGINDIRusrlibuwsgipluginsstart(){uwsgiminietcuwsgijsonrpc。iniuwsgiminietcuwsgiblockpage。iniuwsgiminietcuwsgiupload。ini}stop(){killall9uwsgi} 我们再去找一下etcuwsgiupload。ini〔uwsgi〕pluginscgiworkers1master1uidwwwdatagidwwwdatasocket127。0。0。1:9003buffersize4096cgiwwwcgibinupload。cgicgiallowedext。cgicgiallowedext。plcgitimeout300ignoresigpipetrue 从上述文件中我们可以知道formfileupload它对应的后端处理程序是wwwcgibinupload。cgi。因此我们可以无条件访问upload。cgi。 同时上述配置文件中我们可以看到检查了tmpwebsessiontokencookiesessionid文件是否存在。但是存在缺陷,就是这里的cookiesessionid是用户在http请求中传进去的一个值,它并没有检查是否存在。。。。,也就是说我们可以通过跨目录来导致授权绕过。如:我们可以传递。。。。。。etcfirmwareversion。 同时也可以看到在upload。cgi里对sessionid进行了检查,限制了它的字符,但是并没有考虑到传多个sessionid的情况。因为这里的sessionid是遍历HTTPCOOKIE并且取出它最后一个sessionid作为实际的sessionid使用,所以我们可以传两个sessionid。前一个用来绕过web。upload。conf里的判断,后一个当作正常的数据用来通过upload。cgi的判断。这样也可以实现无条件访问upload。cgi。 我们接着看upload。cgi 传入适当的参数可以使得我们有能力任意文件移动到tmpwww下,通过这两个漏洞我们也可以伪造出一个session。CVE202220707CommandInjection 我们继续查看upload。cgi。 这个漏洞可以使得任意命令执行。参考链接https:bestwing。mePwning20a20Cisco20RV3402020E6BC8FE6B49EE58886E69E90EFBC88CVE20222070520E5928C20CVE202220707。htmlhttps:blog。relyze。com202204pwningciscorv340with4bugchain。htmlhttps:paper。seebug。org1890https:onekey。comblogadvisoryciscorv34xauthenticationbypassremotecommandexecutionhttps:nosec。orghomedetail4985。html fromhttps:www。secpulse。comarchives197154。html
四部门发文,剑指这一领域非法集资四部门发文剑指养老服务领域非法集资守护老人钱袋子记者近日从民政部获悉,民政部、公安部、市场监管总局、中国银保监会印发文件,对常态化养老机构非法集资防范化解工作作出制度安排……华硕推出TUFAX3000刺客信条联名版路由器,首发699元IT之家10月17日消息华硕TUFGAMINGAX3000刺客信条联名款全千兆电竞游戏路由器现已上架,11月11日首发699元。IT之家了解到,华硕电竞特工TUFGAMI……华硕推出刺客信条联名版AX56U路由器,售价429元IT之家10月14日消息华硕现已推出RTAX56U刺客信条联名版WiFi6电竞路由器,限量发售,双11到手价429元。IT之家了解到,AX56U刺客信条版采用黑暗与金色的……人生,酸甜苦辣咸,就是一辈子人的一生,注定要经历很多,会走过很多的路,跨过很多的桥,遇到无数的人,碰到无数的事。这一路,有康庄大道,也有曲折小路;这一生,有让人欢喜的事,也会有使人闹心的事。我……小米米家智能开关众筹单开49元,双开59元,手机蓝牙开关灯IT之家10月21日消息今天小米米家宣布,米家智能开关开启众筹,其中单开关版售价49元,双开关版售价59元。小米米家智能开关支持小爱语音控制,更换便捷,智能联动,OTA升级方便……曝华为WatchGT2Pro支持和手机协调工作,首批支持高德感谢IT之家网友软媒用户1855085的线索投递!IT之家10月28日消息早在9月份,百度地图就宣布与华为鸿蒙OS2。0合作,导航信息可以从手机无缝流转到手表上,抬腕即可……3999元真香预警!荣耀MagicBookPro16。1寸轻IT之家10月30日消息荣耀MagicBookProLinux版16。1寸全面屏轻薄笔记本电脑11月1日将在京东平台降至3999元,16。1英寸大屏100sRGB色域90屏占比……iLife推出超迷你PC立方造型,搭载赛扬N4100IT之家10月23日消息根据WCCFTECH报道,国内厂商iLife推出了一款超迷你PC,名为iLifeMP8MicroPC,可以放在手掌里。据介绍,这款超迷你主机搭载了……英特尔出货AgilexFPGA芯片10纳米工艺,支持DDR5IT之家8月30日消息日前,英特尔开始出货今年推出的最新的FPGA产品Agilex,这款FPGA芯片几乎集成了英特尔现阶段所有的技术创新。其采用10纳米工艺,另外支持异构3DS……赛灵思发布世界最大FPGA芯片杯口那么大,晶体管达到350亿IT之家8月22日消息日前,赛灵思宣布推出世界最大的FPGA芯片VirtexUltraScaleVU19P。这一芯片专门用于最顶级ASIC、SoC芯片的仿真和原型设计以及测试、……辽宁男篮总受伤,球迷跟着一起被挨骂下午看完辽宁对四川男篮的比赛,两队的实力差距还是很大的,结果已经不是重要的观看理由了,主要还是要看看辽宁男篮的年轻球员现在的状态如何。没想到很平常的比赛,竟然也能打出如此火气。……掌阅iReader固件升级PDF性能优化,支持放大重排长按查IT之家3月15日消息根据掌阅官方的消息,三月中旬iReader迎来一波升级,首先是小屏机型固件升级,带来了一系列PDF方面的优化。IT之家了解到,iReaderA6、i……