一个PC上的“WormHole”漏洞

最新推荐文章于 2024-06-12 19:22:58 发布
最新推荐文章于 2024-06-12 19:22:58 发布
阅读量296 收藏 1
点赞数
文章标签: 网络 操作系统
原文链接:https://juejin.im/post/5aa11830518825555c1d3645
版权

xlab · 2015/11/05 12:38

[email protected]

0x00 前言

最近安全界关注的焦点WormHole是一类不安全的开发习惯所导致的,在PC上类似问题也毫不罕见,只不过很多风险被微软默认自带的防火墙缓解了。希望本文和众多关于WormHole的讨论能获多或少地提高一些开发人员的安全意识。

下面要介绍的问题可导致的后果和WormHole非常类似:影响上亿用户、访问一个端口发送一条指令就可以让目标系统下载一个程序并执行。

该问题已于2015年9月29日被修复。在修复前,存在于所有使用预装Windows系统的ThinkPad、ThinkCentre、ThinkStation以及Lenovo V/B/K/E系列电脑。

0x01 背景

联想ThinkVantage System Update软件用于帮助用户从联想的服务器中直接下载并安装软件、驱动、BIOS的更新,极大的简化了用户更新系统的难度和工作量。其被默认预装在联想的多款产品中。

Lenovo System Update可根据不同的网络环境及配置通过多种方式下载软件及更新,其中一种方式为通过文件共享下载,而UNCServer.exe则是完成此功能的主程序,UNCServer.exe随System Update主程序启动,并建立本地服务端等待主程序连接。在早期版本中,甚至System Update主程序退出后,UNCServer.exe也仍然保持运行状态。

0x02 问题描述

在System Update的5.6.0.34版本中,UNCServer.exe通过.NET的Remoting机制,通过TCP服务器提供多种功能。

.NET Remoting发展自DCOM,是一项比较老的.NET分布式处理技术。它序列化服务端的对象和数据并导出,客户端通过HTTP、TCP、IPC信道跨越进程边界实现对服务端对象的引用。然而Remoting的序列化机制会隐式导出对象所有的方法和属性,客户端一旦获得服务端导出的对象引用,即可调用服务端对象提供的所有方法。因此Remoting机制容易引入安全漏洞,且不建议将Remoting服务终端导出给不受信任的客户端。

UNCServer导出的Connector对象提供Connect、DownloadBean、IsFileExist、IsFolderExist、GetFilesInFolder、GetSubFolder、QueryFile、LaunchIE功能。客户端可以连接并获取其引出对象,进行文件下载、应用程序执行等操作。

其中LaunchIE并未对参数进行任何验证,可以用来启动任意进程,其实现代码如下:

case UNCAction.LaunchIE:
        string fileName = (string) eventObj;
        try{
            Process.Start(fileName);
        }
        catch{
        }
        this.connector.Current = (object) true;
    break;
复制代码

同时,虽然System Update在防火墙策略中只添加了UNCServer的出站规则,但由于UNCServer缺少必要的配置,使其绑定在0.0.0.0:20050上。因此在缺乏防火墙保护的情况下,任何机器都可与其建立连接,最终使用其提供的DownloadBean和LaunchIE功能实现远程下载程序并执行。

UNCServer建立服务端信道并导出对象的代码如下:

IDictionary properties = (IDictionary) new Hashtable();
properties[(object) "name"] = (object) "tvsuuncchannel";
properties[(object) "priority"] = (object) 2;
properties[(object) "port"] = (object) 20050;
this.channel = new TcpServerChannel(properties, (IServerChannelSinkProvider) new BinaryServerFormatterSinkProvider());
ChannelServices.RegisterChannel((IChannel) this.channel, false);
this.status = new object();
this.connector = new Connector();
RemotingServices.Marshal((MarshalByRefObject) this.connector, "Connector");
this.connector.UNCEvent += new Connector.UNCEventHandler(this.connector_UNCEvent);
复制代码

0x03 修复

联想在2015/9/29日放出的System Update 5.7.0.13修复了包括此问题在内的多个漏洞。其重新实现了LaunchIE、LaunchHelp功能,对其创建进程的参数进行了验证。并加强了服务端的配置,使其绑定在127.0.0.1:20050,阻止了远程请求。修复后的部分代码如下:

case UNCAction.LaunchIE:
        try{
            tring str = (string) eventObj;
            Uri result;
            if (Uri.TryCreate(str, UriKind.Absolute, out result) && (result.Scheme == Uri.UriSchemeHttp || result.Scheme == Uri.UriSchemeHttps))
                Process.Start(str);
        }
        catch{
        }
        this.connector.Current = (object) true;
    break;    


IDictionary properties = (IDictionary) new Hashtable();
properties[(object) "name"] = (object) "tvsuuncchannel";
properties[(object) "priority"] = (object) 2;
properties[(object) "port"] = (object) 20050;
properties[(object) "rejectRemoteRequests"] = (object) true;
properties[(object) "bindTo"] = (object) "127.0.0.1";
this.channel = new TcpServerChannel(properties, (IServerChannelSinkProvider) new BinaryServerFormatterSinkProvider());
ChannelServices.RegisterChannel((IChannel) this.channel, false);
this.status = new object();
this.connector = new Connector();
RemotingServices.Marshal((MarshalByRefObject) this.connector, "Connector");
this.connector.UNCEvent += new Connector.UNCEventHandler(this.connector_UNCEvent);
复制代码

0x04 小结

Remoting作为上一代的.NET分布式处理技术,由于设计时的安全缺陷早已被微软的WCF技术取代。如果应用程序仍在使用Remoting技术进行分布式处理或通信,应意识到其潜在的安全问题,稍有不当则可能引入安全漏洞。

weixin_33863087
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XAMPP远程命令执行漏洞
weixin_46801402的博客
11-02 1183
XAMPP远程命令执行漏洞
数千台未修复 Openfire XMPP 服务器仍易受高危漏洞影响
smellycat000的专栏
08-28 178
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士VulnCheck 公司发布报告称,数千台 Openfire XMPP 服务器仍未修复最近发现的一个高危漏洞 (CVE-2023-32315)。该漏洞评分为7.5,与 Openfire 管理员控制台中的一个路径遍历漏洞有关,可导致未认证攻击者访问为权限用户预留的受限制页面。该漏洞影响自2015年4月发布的3.10.0以来的所有 Openfire ...
漏洞预警丨XAMPP在PHP-CGI模式下远程代码执行漏洞(CVE-2024-4577)
C20220511的博客
06-12 468
PHP是一种被广泛应用的开放源代码的多用途脚本语言,PHP-CGI是PHP自带的FastCGI管理器。是一个实现了CGI协议的程序,用来解释PHP脚本的程序,2024年6 月7日,推特安全上orange公开了其漏洞细节,并且PHP官方已修复该漏洞。该漏洞仅适用于php版本为8.1 < 8.1.29,PHP 8.2 < 8.2.20,PHP 8.3 < 8.3.8,同时在php-cgi模式下运行php,并且运行在windows平台,且使用语系为繁体中文950、日文932、简体中文936等。
虫洞攻击(wormhole Attack)
ryanzzzzz的博客
06-28 741
这样一来,网络中的节点就会产生错误的路由选择,导致网络分区、数据丢失或其他通信问题。:攻击者通过实际物理渠道、先进的无线设备或恶意软件,在网络中创建一个或多个虫洞通道。:虫洞攻击通常以很快的速度传输数据,绕过正常的网络路由和安全机制。加密和认证:使用强大的加密和认证机制来保护网络通信,防止未经授权的节点进入虫洞通道。路由验证:网络节点可以通过验证消息跳数或跳时间,来检测虫洞攻击生成的异常路由。监测和响应:持续监测网络中的异常行为,及时识别虫洞攻击,并采取相应的响应和对策。
Wormhole漏洞分析
mutourend的博客
02-07 1721
1. 引言 前序博客有: Wormhole资产跨链项目代码解析 Wormhole为Solana上的跨链bridge。 Wormhole中引入了Validator角色——即guardians。 Wormhole不是区块链网络,其仅依赖共识和其bridge的链的finalization。 Wormhole中没有leader角色,所有的guardians都对其监听到的on-chain event执行相同的计算,同时对Validator Action Approval (VAA)签名。若有⅔+的大多数guard
wormhole:Wormhole一个SPaaS(流处理即服务)平台
04-01
虫洞来自的流式处理平台Wormhole一个一站式流式处理云平台解决方案(SPaaS-流处理即服务)。 蠕虫洞针对大数据流式处理项目的开发管理运维人员,致力于提供统一的抽象概念体系,直观可视化的操作界面,简单流畅的...
wormhole.zip
09-25
wormhole.zipwormhole.zipwormhole.zipwormhole.zipwormhole.zipwormhole.zipwormhole.zipwormhole.zipwormhole.zipwormhole.zipwormhole.zip
wormhole-0.7.0.tar.gz
09-24
wormhole-0.7.0.tar.gzwormhole-0.7.0.tar.gzwormhole-0.7.0.tar.gzwormhole-0.7.0.tar.gzwormhole-0.7.0.tar.gzwormhole-0.7.0.tar.gzwormhole-0.7.0.tar.gzwormhole-0.7.0.tar.gzwormhole-0.7.0.tar.gzwormhole-...
wormhole-william-mobile:适用于Android的端到端加密文件传输。 一个Android Magic Wormhole客户端
03-14
(也许有一天它也将支持iOS)。 目前,它处于Alpha状态。 那里有基本功能,但是UI / UX相当粗糙。 为了构建它,您将需要在本地安装android SDK。 将环境变量ANDROID_SDK_ROOT和ANDROID_ROOT设置为android SDK的...
Baidu Wormhole
11-30
Baidu Wormhole 百度应用漏洞
wormhole(虫洞)(bellman ford)(判断负权环)
这可是一个难过的暑假哇,别白过
07-14 262
2831.   WormholesTime Limit: 1.0 Seconds   Memory Limit: 65536KTotal Runs: 1271   Accepted Runs: 404    Multiple test filesWhile exploring his many farms, Farmer John has discovered a number of amazin...
网络空间安全赛题解析-通过xampp漏洞获取敏感信息
君逍遥o
06-04 519
XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建 XAMPP 软件站集成软件包。这个软件包原来的名字是 LAMPP,但是为了避免误解,最新的几个版本就改名为 XAMPP 了。它可以在Windows、Linux、Solaris、Mac OS X 等多种操作系统下安装使用,支持多语言:英文、简体中文、繁体中文、韩文、俄文、日文等。
Goby 漏洞发布|XAMPP Windows PHP-CGI 代码执行漏洞
最新发布
m0_46699477的博客
06-12 297
PHP是一种在服务器端执行的脚本语言,在 PHP 的 8.3.8 版本之前存在命令执行漏洞,由于 Windows 的 “Best-Fit Mapping” 特性,在处理查询字符串时,非ASCII字符可能被错误地映射为破折号(-),导致命令行参数解析错误,当 php_cgi 运行在Windows平台上,且代码页为繁体中文、简体中文或日文时,攻击者可以通过特定的查询字符串注入恶意参数,从而执行任意代码。
Wormholes(负权回路)
08-09 581
点击打开链接 Problem Description While exploring his many farms, Farmer John has discovered a number of amazing wormholes. A wormhole is very peculiar because it is a one-way path that delivers you to i
泛微OA系统多版本存在命令执行漏洞
热门推荐
Sylon的博客
10-30 1万+
0x01漏洞描述 泛微OA办公系统是一款协调办公软件。 泛微协同商务软件系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。 0x02漏洞危害 攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行远程代码执行。 0x03影响范围 泛微 e-cology<=9.0 0x04漏洞复现 访问http://url/weaver/bsh.servlet.BshServlet...
Linux xmpp网络不通,Pidgin XMPP协议拒绝访问漏洞
weixin_26879037的博客
05-09 167
发布日期:2011-08-07更新日期:2012-03-19受影响系统:Pidgin Pidgin 2.x不受影响系统:Pidgin Pidgin 2.10.2描述:--------------------------------------------------------------------------------BUGTRAQ ID: 52476CVE(CAN) ID: CVE-20...
Moonbeam生态说|Hello! Wormhole
Moonbuilder的博客
01-06 378
本期Moonbeam生态说由Wormhole和Moonbeam中文社区联合在BinanceLive直播,深入了解跨链桥。来自Wormhole的核心贡献者Chase是本期Wormhole AMA的主持人,
百度全系APP SDK漏洞–WormHole虫洞漏洞
jltxgcy的专栏
02-18 9328
0x00    我们以百度地图v8.7.0为例来分析百度蠕虫漏洞,apk下载地址为https://github.com/jltxgcy/AppVulnerability/Baidu_Maps_v8.7.0.apk。    使用Android Killer来打开这个apk,Android Killer下载地址为http://pan.baidu.com/s/1jGQUzwa。    我们先讲述如何在代
NODE使用ftp和egg库读取ftp服务器上的文件并返回给前端,注意ftp库获取的stream是个Socket对象无法直接给ctx.body赋值返回数据,请给我完整代码流
06-02
好的,以下是完整的代码流程: ```javascript const Ftp = require('ftp'); const fs = require('fs'); const path = require('path'); const sendToWormhole = require('stream-wormhole'); const awaitWriteStream = require('await-stream-ready').write; const Controller = require('egg').Controller; class FileController extends Controller { async download() { const { ctx } = this; const client = new Ftp(); const filePath = ctx.query.filePath; // 文件在ftp服务器上的路径 const fileName = path.basename(filePath); // 文件名 const writeStream = fs.createWriteStream(fileName); // 创建本地文件写入流 // 连接ftp服务器 client.connect({ host: 'ftp.example.com', user: 'username', password: 'password', }); client.on('ready', () => { client.get(filePath, (err, stream) => { if (err) { client.end(); ctx.status = 500; ctx.body = 'Failed to get file'; return; } // 使用stream-wormhole处理异常 stream.once('error', error => { sendToWormhole(stream); client.end(); ctx.status = 500; ctx.body = 'Failed to get file'; }); // 将文件流pipe到本地写入流 stream.pipe(writeStream); // 完成本地写入后,返回文件给前端 writeStream.on('finish', async () => { const fileStream = fs.createReadStream(fileName); // 使用await-stream-ready等待流完成 await awaitWriteStream(fileStream); // 设置响应头,告诉浏览器返回的是文件流 ctx.set('Content-disposition', `attachment; filename=${fileName}`); ctx.set('Content-Type', 'application/octet-stream'); ctx.body = fileStream; // 关闭ftp连接 client.end(); }); }); }); client.on('error', error => { ctx.status = 500; ctx.body = 'Failed to connect ftp server'; }); } } module.exports = FileController; ``` 在上面的代码中,我们首先连接ftp服务器,然后使用ftp库获取文件流。由于获取的流是一个Socket对象,我们无法直接将其赋值给ctx.body返回给前端,因此需要将其pipe到本地文件写入流中,等待写入完成后再将其返回给前端。在写入完成后,我们需要手动设置响应头告诉浏览器返回的是文件流,并关闭ftp连接。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值