预计阅读时间： 7 分钟

OCS-NG（Open Computer and Software Inventory Next Generation）是一款让用户对IT资产列表梳理的免费软件。可以收集装了OCS客户端程序的计算机硬件和软件的信息，然后通过Web界面将信息可视化。

笔者在OCS软件内部的几个核心函数里发现了这个漏洞，有问题的函数负责处理SNMP设置并且可以控制没过滤的“ SNMP_MIB_DIRECTORY”变量，与其他字符串连接后传给shell_exec函数执行。

经过身份验证后的用户可以设置这个选项，存储的变量没有被过滤，意味着笔者可以控制这个变量值写入恶意命令。

将恶意命令注入“ SNMP_MIB_DIRECTORY”值之后，还需要访问另一个调用这个变量值的页面触发Payload实现运行SNMP_MIB文件，执行恶意命令的操作。

使用RCEScanner脚本分析OCS代码里潜在的RCE漏洞结果如下：

CommandLine.php文件内容，执行命令的代码在34、35行：

函数" get_mid_oid()"带有一个" $file"的参数变量，内部没有内容过滤。此外还可以看到" $values" 的变量后连接了$file直接传递给shell_exec()函数。而$values变量的内容是被“ look_config_default_values()”的函数处理过的。

如果控制了一个没有过滤的变量，就能能够注入命令。

分析require/function_commun.php中的look_config_default_values()函数，可以找到以下代码：

look_config_default_values()函数作用是从数据库中查询数据（config表）并返回结果，这部分没有什么很有趣的地方，但是可以知道为什么从数据库里提取设置没过滤。

现在我们知道“ get_mib_oid()”函数在核心PHP文件ms_snmp_config.php里被调用，片段代码如下 ：

PHP的完整文件路径是“plugins/main_sections/ms_config/ms_snmp_config.php”，可以看到“ get_mib_oid()”函数被调用传递“$protectedPost ['mib_file']”作为参数。

代码先检查“ update_snmp”变量值是否在ProtectedPost数组中，如果存在就把“$protectedPost ['mib_file']”的变量值传递给容易受攻击的"get_mib_oid()"函数，之前的代码提到过函数“ look_config_default_values()”的输出是$value变量值。

现在如果可以控制$protectedPost ['mib_file']的值或$values ['tvalue'] ['SNMP_MIB_DIRECTORY']的值，就可以通过注入恶意代码来实现代码执行，但是前提是要了解输入的处理方式，检查有没有应用过滤器处理了这些输入。

经过进一步分析，发现$protectedPost数组是在header.php文件中声明的，如下所示：

这两行代码会处理所有传入的GET请求、POST请求，并使用“ strip_tags_array()”函数删除任何标签，转换成数组形式保存在“$protectedGet”、“$protectedPost”变量里。

在这里可以看到PHP代码里没有对外部请求做过滤，意味着可以把Payload注入到可以控制的变量“$protectedPost ['mib_file']”里。

为了再次确认没有额外的过滤，还需要分析“require/function_commun.php”中的strip_tags_array（）函数：

从这段代码中可以看到函数作用是过滤输入中的某些标签，过滤后返回输出。

现在已经知道应用程序中有一个POST请求会传递给strip_tags_array()函数。然后发送并添加到$protectedPost数组中，现在只需要搞清楚在哪里发送可以保存这个变量值。

在深入研究应用程序之后，发现可以通过使用以下页面设置选项来控制“$values ['tvalue']['SNMP_MIB_DIRECTORY']”的值：

当拦截请求时，可以看到以下内容：

提交值后可以看到状态里的变量已更新完毕：

基于之前的分析，如果触发了“get_mib_oid()”函数，可以调用“$values ['tvalue'] ['SNMP_MIB_DIRECTORY']”值，在本例中为“Our Payload”，为了验证，添加一条PHP代码做调试语句，回显提交的值“ Our Payload”。

编辑“ CommandLine.php”文件然后加入一行PHP代码，如下所示：

在深入研究应用程序之后，发现可以使用以下页面触发该函数：

点击发送后，收到以下请求：

提交的“ update_snmp”值可以作为以下代码的判断条件：

网页里可以看到提交的值“Our Payload”打印在页面上：

现在可以注入有效的命令语句来执行。

提交的Payload进入get_mib_oid()函数会跟其他字符串串联在一起，类似于以下内容：

为了避免这种情况，需要将Payload更改为如下所示：

我们可以用netcat反向shell替换“Our Payload”，如下所示：

使用“;”转义命令，并在字符串后用“＃”注释掉多余的内容。

注入Payload然后触发。并且检查Netcat监听是否有回连：

还需要通过访问此页面来触发

http://172.16.147.129/ocsreports/index.php?function=SNMP_config

正如之前获得以下HTTP请求一样：

提交后可以在NetCat上获得以下内容：

奥里给！弹出一个shell！

再编写一个利用程序实现自动利用，编写此EXP程序的过程中笔者玩得很开心，因为必须处理很多的CSRF令牌，表单和其他一些要求。

跟往常一样使用python编写漏洞利用程序，这是最终的exp代码：

运行漏洞利用程序之后，可以获得以下内容：

我们再次弹回一个shell~！

翻译地址：https://shells.systems/ocs-inventory-ng-v2-7-remote-command-execution-cve-2020-14947/

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)