CVE-2020-7799:FreeMarker模板FusionAuth RCE复现
CVE-2020-7799:FreeMarker模板FusionAuth RCE复现
本文字数:718
阅读时长:2~3min
声明:请勿用作违法用途,否则后果自负
0x01 简介
FusionAuth是一个免费的身份管理平台,安装简单,易于集成。FusionAuth提供登录、注册、MFA、SSO、电子邮件模板、本地化、密码控制、强哈希、网络挂钩、基于角色的访问控制等功能。
0x02 漏洞概述
一个有修改 email 或者 theme 模板权限的用户可以通过使用 Apache FreeMarker engine 里的 freemarker.template.utility.Execute 来执行任意命令。
因为使用了Apache FreeMarker engine(freemarker-2.3.28.jar), 所以可以使用 freemarker 的语法, 类似 ${XXX? Built-ins} 而 new 这个 Built-ins 会 创建一个特定 TemplateModel 的 变量。
要求?左边是TemplateModel,也就是 freemarker.template.utility.Execute, 而右边就是 initialize 这个 object 时的参数。
0x03 影响版本
FusionAuth <= 1.11.0
0x04 环境搭建
下载 FusionAuth 1.10.0(本次使用 FusionAuth 1.10.0 进行测试)
https://storage.googleapis.com/inversoft_products_j098230498/products/fusionauth/1.10.0/fusionauth-app-1.10.0.zip- 将文件解压之后随便放一个位置
- 启动 MySQL
/etc/init.d/mysql start - 启动 ElasticSearch
systemctl start elasticsearch.service - 启动 FusionAuth
bin/startup.sh
- 打开网址
http://127.0.0.1:9011/配置 FusionAuth- 先配置数据库
- 配置 Elastic Search
- 创建好用户之后就可以登录了
0x05 漏洞复现
本次使用 email template 进行测试
- 进入 setting -> email template
- 随便点一个 template 的 edit
- 开启 Burp Suit 抓包, 配置好 proxy
- 点击 Preview, 然后去 Burp Suit 看抓包
- 修改
emailTemplate.defaultHtmlTemplate为${"freemarker.template.utility.Execute"?new()("whoami")} - forward 之后看结果
0x06 修复方式
值得一提的是 freemarker 2.3.19 的 changelog 里显示,如果用户开启了 TemplateClassResolver.SAFER_RESOLVER 的话, 可以防止创建 freemarker.template.utility.Execute. 然而目前这并不是默认配置。
FusionAuth Version 1.11.0 的 release Note 里说是修改了 freemarker template engine, 使其不能执行恶意代码. 所以修复方式就是升级到1.11.0 及以后的版本。
参考链接:
https://www.anquanke.com/post/id/198036
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7799