CVE-2018-7600 Drupal核心远程代码执行漏洞分析

时间 2019-11-12

标签 cve drupal 核心远程代码执行漏洞分析繁體版

原文原文链接

0x01 漏洞介绍

Drupal是一个开源内容管理系统（CMS），全球超过100万个网站（包括政府，电子零售，企业组织，金融机构等）使用。两周前，Drupal安全团队披露了一个很是关键的漏洞，编号CVE-2018-7600 Drupal对表单请求内容未作严格过滤，所以，这使得攻击者可能将恶意注入表单内容，此漏洞容许未经身份验证的攻击者在默认或常见的Drupal安装上执行远程代码执行。php

0x02 漏洞分析

Drupal渲染数组的状况有页面加载和Ajax表单发出的请求，在这里Ajax API调用是攻击者最佳的选择。那么做为用户注册表单的一部分，图片字段使用Ajax API将图片上传到服务器，而且生成缩略图html

查阅了相关文档资料如今，咱们所要作的就是注入一个恶意渲染数组，该数组使用Drupal的渲染回调方法在系统上执行代码。有几个属性咱们能够注入：git

#access_callback 标签虽然callback回调函数可控，但须要回调处理的字符串不可控，致使没法利用。如下场景以post_render和lazy_builder为例github

2.一、漏洞场景1：引入#post_render

#post_render数组

这个API标签能够被全部的元素和表单使用，它是在drupal_render()方法中调用，能够渲染当前元素和子元素，也可对内容进行修改。安全

例子中$ element经过调用admin_form_html_cleanup函数处理返回处理后的结果。再来看能够触发攻击载荷的代码，在渲染的过程当中调用了call_user_func进行回调处理，但$callable 回调函数经过表单伪造，$elements的子元素一样也是经过表单可控服务器

攻击者利用攻击载荷 mail[#post_render][]=passthru&mail[#type]=markup&mail[#markup]=whoami ，这里的#markup是当前元素#type的子元素，经过数组的方式传入值，执行过程如图app

魔术方法__toString获得$this->string 等于whoami ，带入到call_user_func中交给passthru函数执行，致使漏洞触发函数

PHP内置函数pasthru执行后会回显结果post

2.二、漏洞场景2：引入#lazy_builder

#lazy_builder 可选，数组值，必须有且只有两个元素，一个是回调函数名，一个回调的参数，参数只能是NULL或者标量类型

$callable变量取#lazy_builder元素标签数组下标0的值做为回调函数名，取数组下标1的值当回调方法的参数，下面攻击载荷调用PowerShell 远程下载文件到本地保存为php网页后门，代码以下图

咱们传入的lazy_builder[0]和lazy_builder[1]的值在渲染的时候用call_user_func_array完成整个攻击过程

整个漏洞的产生过程都是由于call_user_func或者call_user_func_array等回调函数致使的任意代码执行，API元素标签中可能还会触发漏洞的标签有#theme 、#create_placeholder、#theme_wrappers等等。

0x04 缓解措施

官方在最新版本8.5.1中增长了下图方法

对请求的GET、POST、COOKIE 进行过滤处理

但愿广大用户尽快升级到最新版本Drupal 8.5.1 ，下载地址：https://www.drupal.org/project/drupal/releases/8.5.1

0x05 Reference

https://research.checkpoint.com/uncovering-drupalgeddon-2/

https://github.com/g0rx/CVE-2018-7600-Drupal-RCE/blob/master/exploit.py