c++ 校验目录名称是否合法_nhttpd 从目录穿越到远程代码执行漏洞分析(CVE-2019-16278)...

最新推荐文章于 2021-01-26 17:42:55 发布
最新推荐文章于 2021-01-26 17:42:55 发布
阅读量254 收藏
点赞数
文章标签: c++ 校验目录名称是否合法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39517400/article/details/113049113
版权
本文分析了nhttpd 1.9.6及之前版本中的一个路径穿越漏洞,该漏洞可能导致远程代码执行。攻击者可以利用此漏洞访问web server路径之外的文件。漏洞出现在http_header方法的strcutl方法中,由于对换行符处理不当,允许构造特殊payload绕过目录穿越校验。修复方案增加了对””后一位字符的检查,防止目录穿越。
摘要由CSDN通过智能技术生成

漏洞描述

nhttpd 1.9.6及之前版本中存在路径穿越漏洞。攻击者可利用该漏洞访问web server路径之外的文件。

漏洞分析

目录穿越

在main.c中,处理header处存在如下代码

4fff508b18ed270c0aff814f1d1219d0.png

程序将会调用http_verify对每个header进行有效性验证,如上图1568行

当http_verify函数对header有效性验证通过后,会调用http_proc对header进行处理,以及后续操作

跟入http_verify方法中

2de421e5343a135902e8bc60d82bab5a.png

在header有效性验证环节(http_verify)中,http_verify方法验证了header是否可以被url解码、method是否效、以及是否存在”/../”目录变量这样的字符串等内容

bc0acfd419b9f7f4a6dd948194edf054.png

上图:header是否可以被url解码http_decode_header_uri,该方法有三种可能的返回值,-1(error)/ 0 (不需要解码)/ 解码后的值。-1则返回400状态码

cc9698dd61995ebd77e1c6f6ecc2025f.png

上图:判断header 是否是GET/POST/HEAD method中的一个,不是则返回501状态码

85f9c1302e64716d96c951c1473c4a59.png

上图:判断header中是否存在”/../”,存在则返回400状态码

在通过http_verify校验后,理论上是不允许出现”/../”这样导致目录穿越漏洞的字符串,导致漏洞产生的原因,需要接下来往后看。

通过验证的header,紧接着通过http_proc处理,如下图1571行

d58b7f2a06338f601e219146a9857cd1.png

在该方法的290行处,可见使用http_header方法进行header解析

91e1bb2801c2032709040bd6e276824d.png

http_header方法解析传入的header并在结构中返回我们的响应,如下图

89d2e537112b67452723102a375e038b.png

在该方法中存在如下代码

5ec87101ee88051a72eda77567407ac9.png

如上图1507行,http_header方法调用strcutl方法对header_data进行解析

strcutl方法中60行处,存在如下图代码

35a8d4bac59416ecbb7548155eae4c24.png

此处代码的本意,是通过’’或’’切分传入的header字符串

这里解释一下””、””以及””:

CR:Carriage Return,对应ASCII中转义字符,表示回车

LF:Linefeed,对应ASCII中转义字符,表示换行

CRLF:Carriage Return & Linefeed,,表示回车并换行

由于操作系统的不同,Windows以及Linux等采用不同的换行方式:

Windows操作系统采用两个字符来进行换行,即CRLF();

Unix/Linux/Mac OS X操作系统采用单个字符LF()来进行换行

35a8d4bac59416ecbb7548155eae4c24.png

上图代码的本意,是通过’’或’’切分传入的header字符串,当for循环中原始header中出现’’,则认为是一行数据的截至,停止对dst变量进行赋值,此时dst变量中存放的为这一行完整的数据

但是在windows中,会使用进行换行,数据中的header会以如下形式存在:

1
”line1line2”

为了在切割header行时,为了不把””混入line1中,即避免存在”line1”情况的出现,程序通过判断原始header中逐位的字符是否是””,若该处字符是””,则continue,不将该字符””赋值给最终的dst变量

因此,程序在用这种方式处理”line1line2”这样的windows下的数据时,第一行的dst值会是”line1”,而不会是”line1”

但是开发者仅仅考虑在处理windows换行符(””)换行时的问题,并简单的将””去除,并没有意识到攻击者可能构造的特殊情况,例如:

1
“/../../../”

这样的payload,在经过程序处理时,可以安全的通过http_verify对”/../”的校验。然而这人个payload在strcutl方法中,””会被去除,最终dst值为/../../../。这样的dst数据,最终会导致目录穿越的产生

RCE

http_proc方法中的execve函数,如下图

47a8ae3115f5594f7bc13895e3bd3c5e.png

execve()的第一个参数指定准备载入当前进程空间的新程序的路径名,第二个参数指定了传给新进程的命令行参数,最后一个参数指定了新程序的环境列表。

而此处,rh->rq_filef可以通过目录遍历,通过”/../../../../bin/sh”,指定web服务目录之外的bin/sh文件,造成远程代码执行漏洞的产生

修复

官方给出的修复方案如上,这里不仅判断了当前字符是””,更是判断了””后一位字符是否是””。也就是说,只有””这样的windows换行符出现时,””会被去除原payload” /../../”经过此次修复,最终解析后的dst值仍为”/../../”

如果构造payload”/../../”,虽然可以去除””,但由于随后的””导致for循环的终止,此时dst值为”/”,仍不能满足目录穿越

weixin_39517400
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2019-16278:Nostromo Web服务器的远程命令执行
NOSEC2019的博客
10-22 2615
在这篇文章中,我将分析CVE-2019-16278漏洞的成因,以及如何去利用它。这个漏洞存在于Nostromo web服务上(又名nhttpd),这是一个开源的web服务,在Unix系统上非常流行,例如FreeBSD, OpenBSD等等。 Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。因此未经过身份验证的远程攻击者可以强制服务器指向/bin/...
QT&C++ 判断文件夹路径是否合理
weixin_46457532的博客
04-13 854
直接上代码吧 不长 很容易读懂。
C++中相对路径与绝对路径以及斜杠与反斜杠的区别
学习的轨迹
05-17 1146
转自CSDN:sszgg2006 文件路径正斜杠和反斜杠 正斜杠,又称左斜杠,符号是"/";反斜杠,也称右斜杠,符号是"\"。文件路径的表示可以分为绝对路径和相对路径: 1、绝对路径表示相对容易,例如 pDummyFile =fopen("D:\\vctest\\glTexture\\texture\\dummy.bmp", "rb");给出了从盘符开始的全部路径,这里需要注意的是
检测文件中字符的合法性(C++)
01-24
能检测文件data.txt中的字符的合法性,通过界面返回。 只需输入文件名即可(输入时带后缀名)
Maven本地仓库有jar包 但是项目找不到(一)
weixin_39454319的博客
12-03 2449
直接删除本地仓库中,对应jar的文件夹中的,后缀为.lastUpdated和.repositories文件. **问题追溯:**上述两种文件中配置了很多指向性的内容,通常指向的就是各类仓库地址,如私服.这类文件的存在,告诉了我们本地maven去哪里下载更新jar包,但诱因里我有提到,这时候的远端仓库是找不到或者断了连接的情况,所以会发生问题.我们将其删除,maven就不会去这类文件中找远端仓库地址进行更新操作,而是直接引用了现有jar包,从而使问题得以解决. ...
.net mvc 非空依然提交了_[C#.NET 拾遗补漏]09:数据标注与数据校验
weixin_39728124的博客
10-28 114
数据标注(Data Annotation)是类或类成员添加上下文信息的一种方式,在 C# 通常用特性(Attribute)类来描述。它的用途主要可以分为下面这三类:验证 Validation:向数据添加验证规则显示 Display:指定数据如何呈现给用户模型 Modeling:添加关于用法和与其它类的关系信息下面是一个用来验证和展现用户信息的一个 Model:class 数据标注的显示用途主要在早...
C/C++检测路径是否存在并创建
听缶者的博客
03-29 5208
功能:根据传入的文件路径进行检测,对于不存在的路径进行创建,可兼容带有文件名和不带文件名的情况 如:D:/1/2/3/test.jpg和D:/1/2/3#include "stdafx.h" #include <string> #include "direct.h" #include <sys/stat.h> using namespace std; string&...
C++判断用户输入路径是否正确(判断盘符是否存在以及“\”与"/")
Holy-Lyc Hytc 学习专栏
06-11 6448
直接上代码,用了windows.h里的函数获取盘符 #include #include #include #include #include using namespace std; string userPath; //用户输入路径 string TcharToChar(TCHAR * tchar); //TCHAR转char函数,并存放在
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 年底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录中注入恶意代码远程执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中...
C++下的目录遍历操作
MrKnight的专栏
11-02 1916
最近使用C#比较多,对于目录操作DirectoryInfo和Directory这个类感觉用起来很方便,突然又要写点C++代码,也要使用目录遍历,想了想以前的经历,记得好像MFC中的CFileFind类使用起来还算方便,但具体使用也忘了,又要花点时间去查下,还是记录在这以后再使用来查阅也方便。 在VC++下使用CFileFind类,首先要在项目属性设置中关于“MFC的使用”设置好,再在头文件中包含
Linux 文件名合法性检测
?.?的专栏
10-08 4584
Linux 文件名合法性检测 Linux 文件名合法性一般规则: 文件名长度不超过255 避免使用加号、减号或者"."作为普通文件的第一个字符 文件名避免使用下列特殊字符,包括制表符和退格符 Python 示例如下: #!/usr/bin/env python # -*- coding:utf-8 -*- def check(filename): """ Linux 文件名合...
目录穿越/遍历漏洞 -- 学习笔记
热门推荐
angry_program的博客
08-07 2万+
目录 什么是目录遍历? 漏洞原理 实验 0x00 基础目录遍历 0x01 绝对路径 0x02 双写../绕过 0x03 URL编码绕过 0x04 绝对路径配合../ 0x05 截断文件后缀 防御 什么是目录遍历? 目录遍历(目录穿越)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。 这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。 在某些情况下,攻击者可能能够在服务器上写入任意文件,(如,FFFTP是一款小型...
目录穿越/遍历漏洞
小白的劝退之路
01-26 9047
目录 什么是目录遍历? 漏洞原理 实验 0x00 基础目录遍历 0x01 绝对路径 0x02 双写../绕过 0x03 URL编码绕过 0x04 绝对路径配合../ 0x05 截断文件后缀 防御 什么是目录遍历? 目录遍历(目录穿越)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。 这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。 在某些情况下,攻击者可能能够在服务...
(环境搭建+复现)CVE-2019-16278 Nostromo Web服务器的远程命令执行
daxi0ng的博客
03-13 1709
【CNVD编号】 CVE-2019-16278漏洞名称】 Nostromo Web服务器的远程命令执行 1【靶标分类】 web中间件漏洞 2【漏洞分类】 命令执行 3【漏洞等级】 高 4【漏洞简介】 Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。因此未经过身份验证的远程攻击者可以强制服务器指向/bin/sh这样的...
超市管理系统,基于javaweb.zip
最新发布
08-15
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无积分,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于收集和整理资料耗费时间的酬劳
CVE-2019-19781 Citrix漏洞远程代码执行详解与检测
"本文将深入探讨CVE-2019-19781漏洞,该漏洞影响了Citrix Application Delivery Controller(ADC)和Citrix Gateway,可能导致远程代码执行(RCE)。我们将分析漏洞的成因、检测方法以及利用示例,帮助读者了解其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值