【CVE-2020-5405】spring-cloud-config-server路径穿越漏洞分析

0x00 产品简介

Spring Cloud Config是Spirng Cloud下用于分布式配置管理的组件,分为Config-ServerConfig-Client两个角色。其中Config-Server可以配置多种源获取配置,如从git,svn,native等。
 
0x01 漏洞简介
在配置仓库为本地native的情况下,攻击者可以获取config-server服务器上的任意带后缀文件
 
0x02 漏洞影响版本
2.2.x prior to 2.2.2
2.1.x prior to 2.1.7
 
0x03 漏洞等级
高危(官方评级)
 
0x04 漏洞分析
基础环境搭建,https://github.com/spring-cloud/spring-cloud-config/releases/tag/v2.1.1.RELEASE,拉取zip包解压,导入至idea
查看官方commit,分析漏洞位置

 

其中第一个红框,https://github.com/spring-cloud/spring-cloud-config/commit/651f458919c40ef9a5e93e7d76bf98575910fad0

删除了resolveName和reolveLabel的代码,代码将(_)替换为/,很有可能是造成此次漏洞的原因

 

 

在下方测试代码进行了一定的增改,其中findOne函数里面的payload为上一次CVE-2019-3799的测试代码,对测试代码进行了增改想必是为了这一次漏洞做变更,重点留意到这里使用的是native本地仓库配置

 

根据上述分析,尝试配置sping-cloud-config-server的仓库为本地仓库,在进行验证

配置configserver.yml,修改file:///后路径为本地仓库路径,其内容为https://github.com/spring-cloud-samples/config-repo/

 

 根据resolveLabel和resolveName的变动,尝试下断点至@RequestMapping("/{name}/{profile}/{label}/**")

 

 在跟踪至GenericResourceRepository findOne函数时

 

 

对比github commit的变动,新增了一个对location的判断

 

猜测this.service.getLocations中出现了问题,继续跟进

 

 继续跟进getLocations,程序跳至org.springframework.cloud.config.server.environment.NativeEnvironmentRepository getLocations方法

 

在addLableLocations属性为true时将label与location直接进行拼接,判断目录是否存在,存在则添加到output数组中,最后传进Locations对象中返回,很明显这里就是问题所在

 

结合前面在retrieve方法中resolveLable将label中的(_)替换为/,基本可以摸清payload的构造

 

 

 

 关键点说清楚了,经后续调试,构造payload如下:

payload

 疑点1:按照测试的目录,应该是跳两层目录至根目录为什么这里用了三层跳?

看到FileUrlResource中先是用createRelcativeURL进行了处理

 

 

 继续跟进,发现使用URL来处理的

 

跟进内部,发现是parseURL会去除第一个/../,所以实际跳目录的时候要多传入

 

 疑点2:为什么会获取不到没有后缀的文件?

看到retrieve函数中在获取到文件内容后面的操作,“StringUtils.getFilenameExtension(resource.getFilename()).toLowerCase();”,尝试获取后缀,由于没有后缀返回null,空对象做toLowerCase操作出现异常,而后又由于没有做异常捕获,导致程序直接退出

 

 后续官方在修补漏洞的时候也顺带把这个bug给修补了,https://github.com/spring-cloud/spring-cloud-config/commit/740153b5aa74d960116f28be9c755e3b7debd2a2

posted @ 2020-03-10 20:50  水泡泡  阅读(1701)  评论(0编辑  收藏  举报