GoAhead 远程命令执行漏洞（CVE-2017-17562）

漏洞简介

GoAhead是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的Web Server，多用于嵌入式系统、智能设备。其支持运行ASP、Javascript和标准的CGI程序，这个漏洞就出现在运行CGI程序的时候。
GoAhead这个远程命令执行漏洞出现在运行CGI程序的时候，当用户使用不受信任的HTTP请求参数来初始化CGI脚本环境时会触发漏洞，影响所有开启了CGI脚本支持的用户。

影响范围

2.5.0<=GoAhead<3.6.5

漏洞分析

• GoAhead在接收到请求后，将会从URL参数中取出键和值注册进CGI程序的环境变量，且只过滤了REMOTE_HOST和HTTP_AUTHORIZATION。我们能够控制环境变量，就有很多攻击方式。比如在Linux中，LD_开头的环境变量和动态链接库有关，如LD_PRELOAD中指定的动态链接库，将会被自动加载；LD_LIBRARY_PATH指定的路径，程序会去其中寻找动态链接库。
• 我们可以指定LD_PRELOAD=/proc/self/fd/0，因为/proc/self/fd/0是标准输入，而在CGI程序中，POST数据流即为标准输入流。我们编译一个动态链接库，将其放在POST Body中，发送给http://target/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0，CGI就会加载我们发送的动态链接库，造成远程命令执行漏洞。

即，触发条件为：
1、目标GoAhead服务器CGI是启用的，并且CGI是动态链接。
2、由于该漏洞是基于CGI触发，所以需要知道一个可用CGI，并且可以直接访问不需要认证。
3、该漏洞原理是使用LD_PRELOAD实现函数劫持，所以需要清楚目标系统架构（ARM、i686、MIPS、X86_64）。根据目标系统架构编译对应的.so文件作为攻击payload。

漏洞原理

漏洞产生于goahead/src/cgi.c:cgiHandler中，程序遍历了用户访问时所带的参数，验证如果参数不为REMOTE_HOST或HTTP_AUTHORIZATION，则将其存储至envp数组。
该数组将作为接下来cgi调用的环境变量。可以看出正是这里对于参数的过滤不全，导致了用户可以修改CGI程序的LD_PRELOAD环境变量,致使漏洞存在。

实验工具

**NetCat**
- NetCat是一个非常简单的Unix工具，可以读、写TCP或UDP网络连接(network connection)。它被设计成一个可靠的后端(back-end) 工具，能被其它的程序程序或脚本直接地或容易地驱动。
- 同时，它又是一个功能丰富的网络调试和开发工具，因为它可以建立你可能用到的几乎任何类型的连接，以及一些非常有意思的内建功能。它的实际可运行的名字叫nc。
- netcat是网络界的瑞士军刀，它的主要作用是：提供连接其他终端的方法，可以上传文件，反弹shell等等各种利于别人控制你电脑的操作。
- 常用命令：
· -v               显示详细信息 [使用=vv获取更详细的信息]
· -n              以数字形式表示的IP地址
· -p port          打开本地端口
· -l               监听入站信息
· -d              无命令行界面,使用后台模式

**curl**
curl命令是一个利用URL规则在命令行下工作的文件传输工具。它支持文件的上传和下载，所以是综合传输工具，但按传统，习惯称curl为下载工具。
常用参数：
· -X/--request    指定什么命令
· -T/--upload-file    上传文件
· -d/--data   HTTP POST方式传送数据
· curl URL --silent    下载文件输出到终端，不显示进度信息使用--silent选项，显示进度条使用--progress，使用选项-O将下载的数据写入到文件，必须使用文件的绝对地址

实验步骤

这边主要是跟着i春秋的实验平台做了个漏洞验证和利用，关于漏洞复现可详见GoAhead Web服务器远程命令执行漏洞复现。

一、漏洞验证
1、提前定义一个漏洞触发点。
（这个漏洞利用点是在环境cgi目录下放置了一个可执行的perl脚本）
2、使用payload验证漏洞是否存在。
（注意：payload的编译要在和受害者环境相同的系统环境下，可以先使用nmap等工具探测对方的系统环境，再做部署编译）
3、使用curl命令发送编译完成的payload.so。
（curl -X POST --data-binary @payload.so "http://172.16.12.2/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0" -I）

二、漏洞利用
（这一步我们尝试利用这个漏洞，在服务器中写入一个perl脚本，直接在浏览器中访问这个脚本，如果按照设定，该脚本会直接被cgi调用执行。但是我们直接写入的文件在服务器中没有执行权限，我们要额外执行一步，向服务器发送一个数据，增加这个文件的可执行权限。）
1、使用nc监听本地8989端口。
（nc -lv -p 8989）
2、向服务器中写入反弹shell的脚本。
（payload2是在指定路径下写入一个perl脚本，这个脚本内容是反弹shell的。）
3、给反弹shell脚本文件增加可执行权限。
（发个修改文件权限模式的数据包）
4、访问写入的shell，查看监听端口。

漏洞修复

• 检查当前应用程序版本，如果版本小于3.6.5，尽快升级至最新版本或者及时更新官方补丁。
• 修改源码src/cgi.c，根据官方补丁修改161行左右的if内，除了过滤REMOTEHOST和HTTP_AUTHORIZATION，添加过滤IFS、CDPATH、PATH和以LD开头的字符串。

注：实验来源于i春秋实验平台。