Machform多个漏洞
高剧情简介
(1)HTTP主机头注射- cve - 2021 - 20101
CVSSv3基础分数:4.3
CVSSv3向量:AV: N /交流:L /公关:N / UI: R / S: U / C: L /我:N: N
CWE: 20
MachForm是容易HTTP主机头注入验证主机头的不当造成的。
这个漏洞可以利用通过web缓存中毒。这将涉及到攻击者中毒的缓存缓存代理运行的应用程序,比如CDN的例子。这将导致受害者被迫接受恶意的内容——包括了主机头。
如下所示的请求/响应的一个示例是受害者将是服务。我们可以看到,用户定向远离他们的目的网站一个潜在的恶意“https://evil.site/”。
这个漏洞被发现在很多地方在这个应用程序中,用户被重定向到一个位置基于用户的主机头。
= = = = = = = = = = = = = = = = = = = = = = = = = = =
概念验证
重现这个问题,下面的请求发送到目标。
然后,您将看到你重定向到tenable.com域
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
(2)跨站点请求伪造(CSRF) - cve - 2021 - 20102
CVSSv3基础分数:6.3
CVSSv3向量:(AV: N /交流:L /公关:N / UI: R / S: U / C: L /我:L /答:L)
CWE:352年
没有为MachForms CSRF保护。我们可以看到下面的POST请求,没有使用CSRF令牌。通过制作恶意链接或页面和骗取受害者的用户访问这些链接/页,攻击者可能会迫使受害者用户执行敏感的应用程序操作。
攻击者可以利用这个问题通过创建一个虚拟页面,在经过身份验证的用户的会话中执行javascript如果他们被骗使用恶意虚拟页面。
= = = = = = = = = = = = = = = = = = = = = = = = = =
概念验证
下面的HTML和javascript可以用来仿真示例站点。如果一个用户浏览虚拟网站,提交表单,恶意请求将代表用户上传.pht文件。
下面是一个例子假网站出于演示目的。请注意,为了测试这个你需要改变IP地址在HTML页面MachForms运行的服务器。
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
(3)未经身份验证的文件上传/扩展过滤器绕过- cve - 2021 - 20103
CVSSv3基础分数:7.1
CVSSv3向量:AV: N /交流:L /公关:N / UI: R / S: U / C: H /我:L /答:N
CWE:434年
指出在测试过程中,存储的目标是容易跨站脚本由于封锁不足通过upload.php文件附件上传的形式。利用这个攻击者需要附加一个null字节上传文件名绕过扩展验证。
未经过身份验证的攻击者可以利用这个问题注入恶意javascript时将执行浏览附件。这可以用来窃取其他用户cookie,迫使用户行为没有他们的知识。
= = = = = = = = = = = = = = = = = = = = = = = = = =
概念验证
重现这个问题,发送请求到以下MachForm目标。注意:您将需要改变目标IP地址的主机头的你自己的目标。
你可以看到,当浏览,浏览器呈现我们上传HTML和JavaScript。
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
(4)未经身份验证的文件上传远端控制设备- cve - 2021 - 20104
CVSSv3基础分数:8.1
CVSSv3向量:AV: N /交流:H /公关:UI: N / N / S: U / C: H /我:H: H
CWE:434年
MachForm容易未经身份验证的远程代码执行是由于没有检查通过upload.php某些文件扩展名的文件附件上传。
我们正在测试的系统在使用PHP 7.0和输入版本2.4.25和支持以下文件扩展名默认输入:. PHP、简单,.php4, .php5, .php7, .pht, .phtml。PHP。下面的代码片段我们可以看到pht, php7, php文件扩展名失踪的扩展黑名单。
这意味着我们可以上传任意PHP代码pht或php7扩展和远程服务器执行代码。在以下情况下,phpinfo()函数被称为在上传文件。
.pht上传示例
.php7上传示例
注意,不同的PHP版本支持不同的扩展。例如,PHP 7.4支持.phar . PHP、。PHP和.phtml。在这种情况下MachForm仍然是脆弱的,因为它不检查.phar或。php文件扩展名。
未经过身份验证的攻击者可以利用这个问题将恶意的PHP代码注入一种依恋pht或php7扩展,然后远程服务器执行代码无论用户拥有MachForm过程。
注意:为了使攻击者利用这个漏洞,一个活跃的形式必须已经存在MachForm实例,并攻击者会发现表单ID蛮干。Python脚本的一个例子可以用来实现这可能类似于以下:
攻击者也需要发现上传文件的文件名进而增加复杂性利用这个漏洞。
= = = = = = = = = = = = = = = = = = = = = = = = =
概念验证
的一个例子如何pht文件上传和删除.tmp中可以看到以下的请求序列。
最初的文件上传:
嵌入文件1(饼干):
嵌入文件2:
确认1:
确认2:
注意:您将需要改变目标IP地址的主机头的你自己的目标。
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
(5)开放重定向- cve - 2021 - 20105
CVSSv3基础分数:4.7
CVSSv3向量:AV: N /交流:L /公关:N / UI: R / S: C / C: N /我:L /答:N
CWE:601年
Safari_init。php是容易开放的重定向的脆弱性。攻击者可以工艺的价值$ _GET [' ref ']随后在一个URL参数控制的价值“位置”HTTP响应头。这可以被滥用在钓鱼攻击重定向浏览器/用户恶意攻击者的选择的web页面。
引用=削减美元($ _GET [' ref ']);
介绍人美元= htmlspecialchars函数(base64_decode(推荐人美元),ENT_QUOTES);
setcookie (" mf_safari_cookie_fix ", " 1 ", 0);/ / cookie过期的会话(浏览器被关闭)
头(地点:{$介绍人});
= = = = = = = = = = = = = = = = = = = = = = = =
概念验证
例如,下面的URL重定向用户http://google.com。“裁判”的价值是base64编码。
/ machform / safari_init.php ? ref = aHR0cDovL2dvb2dsZS5jb20 =
和响应:
HTTP / 2 302
日期:2021年5月10日,星期一,18:33:52格林尼治时间
Apache服务器:
到期:星期四,1981年11月19日08:52:00格林尼治时间
cache - control: no - cache, must-revalidate没有商店
编译指示:no - cache
set - cookie: mf_safari_cookie_fix = 1
地点:http://google.com
内容长度:0
内容类型:text / html;utf - 8字符集=
风险信息
cve - 2021 - 20102
cve - 2021 - 20103
cve - 2021 - 20104
cve - 2021 - 20105
Derrie萨顿