如何进行Cacti v1.2.8 中经过身份验证的RCE漏洞分析,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。 Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。Cacti通过 snmpget来获取数据,使用 RRDtool绘画图形,而且你完全可以不需要了解RRDtool复杂的参数。它提供了非常强大的数据和用户管理功能,可以指定每一个用户能查看树状结构、host以及任何一张图,还可以与LDAP结合进行用户验证,同时也能自己增加模板,功能非常强大完善。界面友好。软件 Cacti 的发展是基于让 RRDTool 使用者更方便使用该软件,除了基本的 Snmp 流量跟系统资讯监控外,Cacti 也可外挂 Scripts 及加上 Templates 来作出各式各样的监控图。cacti是用php语言实现的一个软件,它的主要功能是用snmp服务获取免费云主机域名数据,然后用rrdtool储存和更新数据,当用户需要查看数据的时候用rrdtool生成图表呈现给用户。因此,snmp和rrdtool是cacti的关键。Snmp关系着数据的收集,rrdtool关系着数据存储和图表的生成。我在分析Cacti主要代码中的多个功能函数时,发现了这个漏洞。我需要结合多个漏洞利用因素才能实现代码执行,当攻击者尝试向“Cacti”这个Cookie变量中注入恶意代码时,便会触发这个漏洞,而这个变量在与一些字符串合并之后将会被传递给shell_exec函数。但是当我尝试修改这个cookie值时遇到了身份验证的问题,而这个问题使我无法访问到目标页面,但是我发现这个包含漏洞的页面是能够以“Guest”身份访问的,这样就不需要进行身份验证了,所以我修改了漏洞利用代码,并使用“Guest”身份来访问页面“graph_realtime.php”,然后发送恶意请求来在目标主机上实现代码执行。首先,我们需要向“user_admin.php”页面发送一个请求来启用“realtime_graph”的访客权限,然后再向“graph_realtime.php”页面发送恶意请求。接下来,我使用了这个常用的RCE扫描脚本【RECScanner】来在Cacti中搜索RCE漏洞。运行脚本后,我在“graph_realtime.php”文件中发现了一个非常有意思的东西:我们可以看到上述代码中的第4和第5行,我们收到了一些参数,还有一个名叫“get_request_var”的函数,该函数的作用如下:我们可以看到,这个函数可以处理输入数据并通过函数“set_request_var”来设置参数值,而这个函数的相关代码如下:接下来,回到我们的“graph_realtime.php”页面,我们可以控制下列输入:但是,我们注意到“graph_realtime.php”文件中的第4行,它使用了sprintf()函数来处理输入,而第一个值“graph”的内容为“local_graph_id”,而这个值是我们可以控制的!又但是,一个名叫“get_filter_request_var”的函数会对这个值进行过滤,我们可以看到,它在“graph_realtime.php”中已经被过滤了:这个函数将会对输入数据进行过滤,然后返回一个“干净的”变量并传递给下一个函数。对于第二个变量“$graph_data_array[‘ds_step’]”,它已经通过sprintf()进行处理了(%d),这也就意味着它会变成一个十进制值,所以我们无法用它来注入我们的恶意命令。接下来,我们再看看下面这段代码:我们看到了另一个传递给shell_exec函数的变量,而这个变量的值就是session_id()函数返回的值,这个函数可以返回当前用户会话的值,也就是说,我们可以用它来注入我们的命令。等一下,如果我们修改了会话,那我们就无法访问目标页面了,因为这个页面要求用户在经过了身份验证之后才能访问。研究之后我又发现,如果我们启用了一个名叫“Realtime Graphs”的特殊权限之后,我们就能够以访客身份访问这个页面了:接下来,我们尝试在不开启“Guest Realtime Graphs”权限的情况下访问该页面:正如我们所见,由于权限问题,我们现在无法访问这个页面,现在我们重新开启该权限,然后访问该页面:很好,接下来我们发送“graph_realtime.php”页面请求,然后在代码中添加一条“echo”语句来输出传递给shell_exec函数的值:如图所示,我们将会话打印了出来,接下来我们尝试向会话中注入自定义字符串:非常好,我们成功实现了注入。成功控制了会话值之后,我们需要用它来在目标系统中实现代码执行,但由于它本质上还是一个会话值,因此我们无法使用一些特殊字符,所以我们需要开发一个“对会话友好的”Payload。比如说,如果对字符串“Hi Payload”进行编码,然后传递给应用程序,我们将会看到:我们可以看到,应用程序设置了一个Cookie给我们,而不是我们所注入的那个,为了解决这个问题,我们需要使用一个自定义的Payload。为了避免使用空格字符,我打算使用“${IFS}”这个Bash变量来代表一个空格。当然了,我们还需要使用“;”来转义命令:如果我们想使用netcat来获取一个Shell,我们还需要创建下列Payload:我们先对Payload进行编码:然后将其发送给应用程序:很好,我们的Payload执行成功了,并拿到了一个Shell。为了实现整个漏洞利用的自动化过程,我编写了一个Python脚本来利用该漏洞:运行了漏洞利用代码之后,我们将会看到:再一次成功拿到了Shell!如果Cacti启用了“Guest Realtime Graphs”权限,那么我们就可以在未经身份验证的情况下利用该漏洞了。下面给出的是这种场景下的漏洞利用代码:我们可以看到,在这种场景下同样能够成功利用该漏洞。在发现该问题之后,我们便将完整的PoC上报给了Cacti的团队,他们也在第一时间修复了该漏洞并发布了漏洞补丁,从Cacti v1.2.10开始将不再受此漏洞的影响。 看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注云编程开发博客行业资讯频道,感谢您对云编程开发博客的支持。
Citrix Netscaler有很多功能模块来满足应用交付的需求,为了能够做好的免费云主机域名配置和排错工作,必须理解其各个模块的工作流程。下图是从client到server交互数据的流程。相关推荐: linux中段错误core dumped指的是什么这篇文…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
