首页
社区
课程
招聘
IT资产管理软件CS Inventory NG v2.7 RCE漏洞
发表于: 2020-8-6 11:19 18108

IT资产管理软件CS Inventory NG v2.7 RCE漏洞

2020-8-6 11:19
18108

img

预计阅读时间: 7 分钟

OCS-NG(Open Computer and Software Inventory Next Generation)是一款让用户对IT资产列表梳理的免费软件。可以收集装了OCS客户端程序的计算机硬件和软件的信息,然后通过Web界面将信息可视化。

笔者在OCS软件内部的几个核心函数里发现了这个漏洞,有问题的函数负责处理SNMP设置并且可以控制没过滤的“ SNMP_MIB_DIRECTORY”变量,与其他字符串连接后传给shell_exec函数执行。

经过身份验证后的用户可以设置这个选项,存储的变量没有被过滤,意味着笔者可以控制这个变量值写入恶意命令。

将恶意命令注入“ SNMP_MIB_DIRECTORY”值之后,还需要访问另一个调用这个变量值的页面触发Payload实现运行SNMP_MIB文件,执行恶意命令的操作。

使用RCEScanner脚本分析OCS代码里潜在的RCE漏洞结果如下:


CommandLine.php文件内容,执行命令的代码在34、35行:

函数" get_mid_oid()"带有一个" $file"的参数变量,内部没有内容过滤。此外还可以看到" $values" 的变量后连接了$file直接传递给shell_exec()函数。而$values变量的内容是被“ look_config_default_values()”的函数处理过的。

如果控制了一个没有过滤的变量,就能能够注入命令。

分析require/function_commun.php中的look_config_default_values()函数,可以找到以下代码:

look_config_default_values()函数作用是从数据库中查询数据(config表)并返回结果,这部分没有什么很有趣的地方,但是可以知道为什么从数据库里提取设置没过滤。

现在我们知道“ get_mib_oid()”函数在核心PHP文件ms_snmp_config.php里被调用,片段代码如下 :

PHP的完整文件路径是“plugins/main_sections/ms_config/ms_snmp_config.php”,可以看到“ get_mib_oid()”函数被调用传递“$protectedPost ['mib_file']”作为参数。

代码先检查“ update_snmp”变量值是否在ProtectedPost数组中,如果存在就把“$protectedPost ['mib_file']”的变量值传递给容易受攻击的"get_mib_oid()"函数,之前的代码提到过函数“ look_config_default_values()”的输出是$value变量值。

现在如果可以控制$protectedPost ['mib_file']的值或$values ['tvalue'] ['SNMP_MIB_DIRECTORY']的值,就可以通过注入恶意代码来实现代码执行,但是前提是要了解输入的处理方式,检查有没有应用过滤器处理了这些输入。

经过进一步分析,发现$protectedPost数组是在header.php文件中声明的,如下所示:

这两行代码会处理所有传入的GET请求、POST请求,并使用“ strip_tags_array()”函数删除任何标签,转换成数组形式保存在“$protectedGet”“$protectedPost”变量里。

在这里可以看到PHP代码里没有对外部请求做过滤,意味着可以把Payload注入到可以控制的变量“$protectedPost ['mib_file']”里。

为了再次确认没有额外的过滤,还需要分析“require/function_commun.php”中的strip_tags_array()函数:

从这段代码中可以看到函数作用是过滤输入中的某些标签,过滤后返回输出。

现在已经知道应用程序中有一个POST请求会传递给strip_tags_array()函数。然后发送并添加到$protectedPost数组中,现在只需要搞清楚在哪里发送可以保存这个变量值。

在深入研究应用程序之后,发现可以通过使用以下页面设置选项来控制“$values ['tvalue']['SNMP_MIB_DIRECTORY']”的值:

当拦截请求时,可以看到以下内容:

提交值后可以看到状态里的变量已更新完毕:

基于之前的分析,如果触发了“get_mib_oid()”函数,可以调用“$values ['tvalue'] ['SNMP_MIB_DIRECTORY']”值,在本例中为“Our Payload”,为了验证,添加一条PHP代码做调试语句,回显提交的值“ Our Payload”。

编辑“ CommandLine.php”文件然后加入一行PHP代码,如下所示:

在深入研究应用程序之后,发现可以使用以下页面触发该函数:

点击发送后,收到以下请求:

提交的“ update_snmp”值可以作为以下代码的判断条件:

网页里可以看到提交的值“Our Payload”打印在页面上:

现在可以注入有效的命令语句来执行。

提交的Payload进入get_mib_oid()函数会跟其他字符串串联在一起,类似于以下内容:

为了避免这种情况,需要将Payload更改为如下所示:

我们可以用netcat反向shell替换“Our Payload”,如下所示:

使用“;”转义命令,并在字符串后用“#”注释掉多余的内容。

注入Payload然后触发。并且检查Netcat监听是否有回连:

还需要通过访问此页面来触发

http://172.16.147.129/ocsreports/index.php?function=SNMP_config

正如之前获得以下HTTP请求一样:

提交后可以在NetCat上获得以下内容:

奥里给!弹出一个shell!

再编写一个利用程序实现自动利用,编写此EXP程序的过程中笔者玩得很开心,因为必须处理很多的CSRF令牌,表单和其他一些要求。

跟往常一样使用python编写漏洞利用程序,这是最终的exp代码:

运行漏洞利用程序之后,可以获得以下内容:

我们再次弹回一个shell~!

翻译地址:https://shells.systems/ocs-inventory-ng-v2-7-remote-command-execution-cve-2020-14947/


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

最后于 2020-8-6 17:56 被lipss编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (1)
雪    币: 4668
活跃值: (782)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
好强啊  
2020-8-6 13:48
0
游客
登录 | 注册 方可回帖
返回
//