只要姿势对 XSS/CSRF 都能拿CVE

Posted 2021-04-25 NEURON MagicBox

安全研究专家在 McAfee Virus Scan Linux企业版中发现了大量的WEB安全漏洞，这些漏洞将允许远程攻击者入侵运行了这款反病毒产品的计算机系统。除此之外，攻击者甚至还可以利用其中的多个漏洞（组成漏洞利用链）来实现以root权限执行远程代码。这也是给WEB狗们很大的鼓励啊!看看这些漏洞是不是你们日常挖的？骚年，2017开始你们的CVE之路吧……

2016年6月23日：漏洞上报给了安全应急响应中心（CERT），漏洞的详细信息将会在8月23日正式对外披露。

2016年7月19日：McAfee要求推迟漏洞披露时间，暂定于9月份，但有可能要推迟到12月份。

2016年9月-2016年11月：McAfee公司没有任何的消息。

2016年12月5日：McAfee通知称，12月12日为漏洞的披露日期。

2016年12月9日：McAfee发布了，并为漏洞分配了。

2016年12月12日：正式发布漏洞分析报告，并对相应漏洞的细节进行了描述。

漏洞No.1CVE-2016-8016：未经验证的远程文件探测漏洞

漏洞No.2CVE-2016-8017: 未经验证的文件远程读取漏洞（受限）

在对Webserver所使用的各种模版文件进行了分析之后，我们可以看到有效的模版文件会包含字符串“__REPLACE_THIS__”或者两个标签“[%”和“%]”，并且这两个标签中间还会有一个字符串（任意值）。

如果攻击者可以替换这些字符串，那么攻击者就可以利用webserver来远程读取目标主机中的文件了。不过在利用这个漏洞的过程中，攻击者只能以“nails”用户权限来读取文件。

漏洞No.3CVE-2016-8018: 无跨站请求伪造（CSRF）验证令牌

Web接口中的所有表单都没带有CSRF验证令牌，当经过验证的用户访问了由攻击者控制的外部域名之后，攻击者就可以利用用户的合法信息来提交认证请求了。其实，在一款2016年发布的反病毒产品中看到这样一种最基础的漏洞，着实令人感到惊讶。

漏洞No.4CVE-2016-8019: 跨站脚本攻击（XSS）

当tplt参数设置为NailsConfig.html或MonitorHost.html时，参数info:7和info:5将负责把不受信的用户输入数据以字符串的形式传递给javascript函数formatData()。通常情况下，info:7的值是一个字符串列表（例如single,show,serverUtcOffset=-25200）。其中的值将会被保存在一个字符串（单引号扩起来的）中，然后传递给formatData函数。如果参数info:7的值设置成了single’.prototype.constructor=eval(‘alert(“xss”‘))+’，那么eval函数将会在formatData函数被调用之前执行恶意的JavaScript代码。

漏洞No.5CVE-2016-8020: 远程代码执行&特权提升漏洞（提权）

在开始扫描系统之前，我们还需要填写四个表单。当我们提交了最后一个表单页面之后，系统会向服务器发送一个包含大量信息的请求。……

漏洞No.6CVE-2016-8021: Web接口允许在已知地址写入任意文件

Web界面允许用户指定一台更新服务器，并向这台服务器请求更新。如果我们想要让远程用户向系统写入文件的话，也许这个功能会非常有用。

为了了解这个更新服务器的工作机制，我在本地克隆了一份McAfee的更新代码库，然后重新对服务器进行了设置，让系统从我的服务器下载更新。

在更新过程中系统会发出两个请求（/SiteStat.xml和/catalog.z）。SiteStat文件是一个标准的XML文件，记录了网站的运行状态和一些基本信息。catelog.z文件貌似是一个，文件中大多是一些二进制数据。我之前认为，系统会对更新包进行签名认证，所以我们无法通过向目标系统推送恶意更新来完成攻击。但是，我打算利用这个功能来向目标系统发送一个shell脚本，然后利用之前的一些漏洞来完成攻击。

我们可以从日志文件中了解到具体的更新步骤：下载文件、验证文件完整性、解压缩和完成安装。

漏洞No.7CVE-2016-8022: 远程使用身份验证令牌

漏洞No.8CVE-2016-8023: 暴力破解身份验证令牌

……

漏洞No.9CVE-2016-8024: HTTP响应拆分

用户可以在“系统事件”页面中导出所有的日志数据（CSV文件），此时系统会发送一个GET请求。在这个请求中，有一个参数为info%3A0。这个参数的值通常为multi%2Capplication%2Fvnd.ms-excel。在服务器相应的响应数据中，有一个header为Content-Type:application/vnd.ms-excel。攻击者可以将header中的链接修改为恶意文件。国内某SRC还不收这个漏洞，人家却是CVE……

漏洞No.10CVE-2016-8025: SQL注入漏洞

英文原文：https://nation.state.actor/mcafee.html 

点击原文链接看freebuf的详细翻译文章：