漏洞分析打破基于openresty的WEB安全防护(CVE-2018-9230)

Posted 海峡信息

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞分析打破基于openresty的WEB安全防护(CVE-2018-9230)相关的知识,希望对你有一定的参考价值。



0x00 前言

OpenResty 是一个基于 nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。海峡信息白帽子id:Bypass通过对OpenResty深入分析发现,可绕过基于OpenResty的安全防护,影响OpenResty全版本。

0x01 环境搭建

运行环境:CentOS6

源码版本:https://openresty.org/download/openresty-1.13.6.1.tar.gz (官网最新版)

0x02 漏洞详情

A、uri参数获取

首先看一下官方 API 文档,获取一个 uri 有两个方法:ngx.req.get_uri_args、ngx.req.get_post_args,二者主要的区别是参数来源有区别,ngx.req.get_uri_args获取 uri 请求参数,ngx.req.get_post_args获取来自 post 请求内容。

测试用例:


server {

  listen    80;  server_name  localhost;

  location /test {      content_by_lua_block {          local arg = ngx.req.get_uri_args()          for k,v in pairs(arg) do              ngx.say("[GET ] key:", k, " v:", v)          end          ngx.req.read_body()          local arg = ngx.req.get_post_args()          for k,v in pairs(arg) do              ngx.say("[POST] key:", k, " v:", v)          end      }  }}


输出测试:

【漏洞分析】打破基于openresty的WEB安全防护(CVE-2018-9230)

B、参数大小写

当提交同一参数id,根据接收参数的顺序进行排序,

可是当参数id,进行大小写变换,如变形为Id、iD、ID,则会被当做不同的参数。

【漏洞分析】打破基于openresty的WEB安全防护(CVE-2018-9230)

这里,介绍参数大小写,主要用于进一步构造和理解测试用例。

C、参数溢出

如果当我们不段填充参数,会发生什么情况呢,为此我构造了一个方便用于展示的测试案例,a0-a9,10*10,共100参数,然后第101个参数添加SQL注入 Payload,我们来看看会发生什么?

测试用例:

curl '127.0.0.1/test?a0=0&a0=0&a0=0&a0=0&a0=0&a0=0&a0=0&a0=0&a0=0&a0=0&a1=1&a1=1&a1=1&a1=1&a1=1&a1=1&a1=1&a1=1&a1=1&a1=1&a2=2&a2=2&a2=2&a2=2&a2=2&a2=2&a2=2&a2=2&a2=2&a2=2&a3=3&a3=3&a3=3&a3=3&a3=3&a3=3&a3=3&a3=3&a3=3&a3=3&a4=4&a4=4&a4=4&a4=4&a4=4&a4=4&a4=4&a4=4&a4=4&a4=4&a5=5&a5=5&a5=5&a5=5&a5=5&a5=5&a5=5&a5=5&a5=5&a5=5&a6=6&a6=6&a6=6&a6=6&a6=6&a6=6&a6=6&a6=6&a6=6&a6=6&a7=7&a7=7&a7=7&a7=7&a7=7&a7=7&a7=7&a7=7&a7=7&a7=7&a8=8&a8=8&a8=8&a8=8&a8=8&a8=8&a8=8&a8=8&a8=8&a8=8&a9=9&a9=9&a9=9&a9=9&a9=9&a9=9&a9=9&a9=9&a9=9&a9=9&id=1 union select 1,schema_name,3 from INFORMATION_SCHEMA.schemata'

输出结果:

【漏洞分析】打破基于openresty的WEB安全防护(CVE-2018-9230)

可以看到,使用ngx.req.get_uri_args获取uri 请求参数,只获取前100个参数,第101个参数并没有获取到。继续构造一个POST请求,来看一下:

【漏洞分析】打破基于openresty的WEB安全防护(CVE-2018-9230)

使用ngx.req.get_post_args 获取的post请求内容,也同样只获取前100个参数。


检查这两个函数的文档,出于安全原因默认的限制是100,它们接受一个可选参数,最多可以告诉它应该解析多少GET / POST参数。但只要攻击者构造的参数超过限制数就可以轻易绕过基于OpenResty的安全防护,这就存在一个uri参数溢出的问题。

综上,通过ngx.req.get_uri_args、ngx.req.get_post_args获取uri参数,当提交的参数超过限制数(默认限制100或可选参数限制),uri参数溢出,无法获取到限制数以后的参数值,更无法对攻击者构造的参数进行有效安全检测,从而绕过基于OpenResty的WEB安全防护。

0x03 影响产品

基于OpenResty构造的WEB安全防护,大多数使用ngx.req.get_uri_args、ngx.req.get_post_args获取uri参数,即默认限制100,并没有考虑参数溢出的情况,攻击者可构造超过限制数的参数,轻易的绕过安全防护。

基于OpenResty的开源WAF如:ngx_lua_waf、X-WAF、Openstar等,均受影响。

A、ngx_lua_waf

ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙

github源码:https://github.com/loveshell/ngx_lua_waf

拦截效果图:

【漏洞分析】打破基于openresty的WEB安全防护(CVE-2018-9230)

利用参数溢出Bypass:

【漏洞分析】打破基于openresty的WEB安全防护(CVE-2018-9230)

B、X-WAF

X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。

官网:https://waf.xsec.io

github源码:https://github.com/xsec-lab/x-waf

拦截效果图:

【漏洞分析】打破基于openresty的WEB安全防护(CVE-2018-9230)

利用参数溢出Bypass:


参考链接:

https://github.com/openresty/openresty/issues/358

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9230

http://wiki.jikexueyuan.com/project/openresty/openresty/get_url_param.html

本文首发于安全客 

原文链接:https://www.anquanke.com/post/id/103771


往期精彩文章






以上是关于漏洞分析打破基于openresty的WEB安全防护(CVE-2018-9230)的主要内容,如果未能解决你的问题,请参考以下文章

基于Openresty实现业务安全防护

OpenResty+OpenWAF的WEB防护实战

漏洞公告Nginx/OpenResty目录穿越漏洞

基于OpenResty的OSS图片安全资源请求

10.Kong入门与实战 基于Nginx和OpenResty的云原生微服务网关 --- 内置插件

软WAF的另一种思路:基于Openresty+Naxsi的WAF实现