!
也想出现在这里? 联系我们
广告位
当前位置:首页>安全咨询>漏洞复现>Roxy-WI 未经身份验证的远程代码执行CVE-2022-31137

Roxy-WI 未经身份验证的远程代码执行CVE-2022-31137

漏洞分析

漏洞 #1 – 身份验证绕过
Roxy GitHub帐户获得 Roxy-WI 源代码后,我完成了应用程序安装并开始检查应用程序。我访问了登录页面来分析安装后的应用程序。在访问登录页面时,我观察到应用程序请求了/app/options.py路径。如果无需身份验证即可访问应用程序中的资源,这是开始分析源代码的好时机。因此,我开始对/app/options.py文件进行攻击性源代码分析。这个相当长的文件包含所有管理功能。应用程序上的功能将 ajax 请求发送到options.py文件,所有的操作都在这里进行。另一方面,对应用程序前端文件的访问提供了足够的会话控制,而对文件的访问options.py则通过局部变量进行控制。

alert_consumer29 32 行,它表明如果定义了变量并且在发送到 options.py 的请求正文中不为空,则可以绕过会话控制。

由于应用程序的性质,您可以控制应用程序中包含的网络和服务,即使除了身份验证绕过漏洞之外没有其他漏洞。因此,它可能会导致危急情况。

触发问题所需的 HTTP POST 请求如下。

漏洞 #2 – 通过 ssh_command 执行未经身份验证的远程代码
通常,基于网络和服务的管理应用程序,例如 Roxy-WI,需要在操作系统上执行操作。因此,如果绕过访问控制和身份验证,我们可能会访问宝藏。因此,在绕过身份验证(参见漏洞 1)之后,我检查了应用程序在操作系统级别执行操作的位置。

options.py文件中调用了一个定义为ssh_command很多的函数,并ssh_command用于对定义的远程服务执行操作。

在第 1 行和第 6 行,getcert变量直接连接到 cmd 变量。然后使用文件ssh_command中的函数对其进行处理/app/funct.py

在第 6 行中,可以看出该ssh_command函数使用了文件中定义的命令变量,/app/funct.py而没有对其进行处理。答对了!

触发问题所需的 HTTP POST 请求如下。

注意:在检查中,发现该ssh_command功能在 34 条不同的线路上使用,其中有 15+ 条线路受到漏洞影响。

漏洞 #3 – 通过 subprocess_execute 执行未经身份验证的远程代码
Roxy-WI 还使用本地配置文件执行操作。通过本地服务器执行的操作是使用subprocess_executeoptions.py 中的函数执行的

在第 1 行和第 5 行之间,如果定义了ipbackendbackend_server变量,则将ipbackend变量直接分配给cmd变量。然后将cmd变量传递给subprocess_execute定义的函数/app/func.py

在第 3 行中,可以看到该cmd值是直接执行的,没有经过处理。

触发问题所需的 HTTP POST 请求如下。

注意:在检查中,发现该subprocess_execute功能在 85 条不同的线路上使用,其中 50+ 条线路受到漏洞影响。

漏洞 #4 – 未经身份验证的远程代码执行
另一方面,Roxy-WI 有应用程序操作的证书文件。证书文件由管理员控制和处理。执行以下代码块以将证书上传到options.py.

在第 12 31 行,可以看到上传函数直接处理 ssl_name 变量。

触发问题所需的 HTTP POST 请求如下。


Metasploit 模块

https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/http/roxy_wi_exec.rb


                               
 

给TA打赏
共{{data.count}}人
人已打赏
漏洞复现

安恒 明御WEB应用防火墙 report.php 任意用户登录漏洞

2022-10-7 22:07:01

漏洞复现

TRS-MAS 测试文件 testCommandExecutor.jsp 远程命令执行

2022-10-7 22:07:38

声明 本站上的部份代码及教程来源于互联网,仅供网友学习交流,若您喜欢本文可附上原文链接随意转载。无意侵害您的权益,请发送邮件至 2651636361@qq.com 或点击右侧 私信:少羽 反馈,我们将尽快处理。
2 条回复A文章作者M管理员
  1. 任逍遥

    哪有什么人生开挂,不过是坚wefqwqwe持很久的厚积薄发。

  2. lalala

    太强了

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索