cve-2018-7600 drupal核心远程代码执行漏洞分析

女爷i 2021-08-31 16:08 475阅读 0赞

## 0x01 漏洞介绍 ##

Drupal是一个开源内容管理系统（CMS），全球超过100万个网站（包括政府，电子零售，企业组织，金融机构等）使用。两周前，Drupal安全团队披露了一个非常关键的漏洞，编号CVE-2018-7600 Drupal对表单请求内容未做严格过滤，因此，这使得攻击者可能将恶意注入表单内容，此漏洞允许未经身份验证的攻击者在默认或常见的Drupal安装上执行远程代码执行。

## 0x02 漏洞分析 ##

Drupal渲染数组的情况有页面加载和Ajax表单发出的请求，在这里Ajax API调用是攻击者最佳的选择。那么作为用户注册表单的一部分，图片字段使用Ajax API将图片上传到服务器，并且生成缩略图

[![format_png][]][format_png 1]

查阅了相关文档资料现在，我们所要做的就是注入一个恶意渲染数组，该数组使用Drupal的渲染回调方法在系统上执行代码。有几个属性我们可以注入：

*  \#access\_callback  
    由Drupal使用来确定当前用户是否有权访问元素。
 *  \#pre\_render  
    在渲染之前操作渲染数组。
 *  \#post\_render  
    接收渲染过程的结果并在其周围添加包装。
 *  \#lazy\_builder  
    用于在渲染过程的最后添加元素。
 *  \#access\_callback 标签虽然callback回调函数可控，但需要回调处理的字符串不可控，导致无法利用。以下场景以post\_render和lazy\_builder为例

### 2.1、漏洞场景1：引入\#post\_render ###

**\#post\_render**

这个API标签可以被所有的元素和表单使用，它是在drupal\_render()方法中调用，可以渲染当前元素和子元素，也可对内容进行修改。

[![format_png 2][]][format_png 2 1]

例子中$ element通过调用admin\_form\_html\_cleanup函数处理返回处理后的结果。再来看可以触发攻击载荷的代码，在渲染的过程中调用了call\_user\_func进行回调处理，但$callable 回调函数通过表单伪造，$elements的子元素同样也是通过表单可控

[![format_png 3][]][format_png 3 1]

攻击者利用攻击载荷 mail\[\#post\_render\]\[\]=passthru&mail\[\#type\]=markup&mail\[\#markup\]=whoami ，这里的\#markup是当前元素\#type的子元素，通过数组的方式传入值，执行过程如图

[![format_png 4][]][format_png 4 1]

魔术方法\_\_toString得到$this->string 等于whoami ，带入到call\_user\_func中交给passthru函数执行，导致漏洞触发

[![format_png 5][]][format_png 5 1]

PHP内置函数pasthru执行后会回显结果

[![format_png 6][]][format_png 6 1]

### 2.2、漏洞场景2：引入\#lazy\_builder ###

*  \#lazy\_builder 可选，数组值，必须有且只有两个元素，一个是回调函数名，一个回调的参数，参数只能是NULL或者标量类型

[![format_png 7][]][format_png 7 1]

*  $callable变量取\#lazy\_builder元素标签数组下标0的值作为回调函数名，取数组下标1的值当回调方法的参数， 下面攻击载荷调用PowerShell 远程下载文件到本地保存为php网页后门，代码如下图

[![format_png 8][]][format_png 8 1]

[![format_png 9][]][format_png 9 1]

我们传入的lazy\_builder\[0\]和lazy\_builder\[1\]的值在渲染的时候用call\_user\_func\_array完成整个攻击过程

[![format_png 10][]][format_png 10 1]

整个漏洞的产生过程都是因为call\_user\_func或者call\_user\_func\_array等回调函数导致的任意代码执行，API元素标签中可能还会触发漏洞的标签有\#theme 、\#create\_placeholder、\#theme\_wrappers等等。

## 0x04 缓解措施 ##

官方在最新版本8.5.1中增加了下图方法

[![format_png 11][]][format_png 11 1]

对请求的GET、POST、COOKIE 进行过滤处理

[![format_png 12][]][format_png 12 1]

[format_png]: /images/20210728/240f83de8e76452a86ca2034fa53b567.png
[format_png 1]: https://p2.ssl.qhimg.com/t01bd8fd7aa6fbfe493.png
[format_png 2]: /images/20210728/aa5f8d2f4ac243a4aa802eff3e34414a.png
[format_png 2 1]: https://p1.ssl.qhimg.com/t01615da4d114490a78.png
[format_png 3]: /images/20210728/23dc0e49894347c596548f72c821285f.png
[format_png 3 1]: https://p4.ssl.qhimg.com/t0106b47be54cd00725.png
[format_png 4]: /images/20210728/b0fcbe30d16543ca9afd87d5049f4d61.png
[format_png 4 1]: https://p3.ssl.qhimg.com/t01b4546e8e52e791a2.png
[format_png 5]: /images/20210728/8558399142b24feb881dec354d65e04f.png
[format_png 5 1]: https://p1.ssl.qhimg.com/t0196a7d50f359e72ef.png
[format_png 6]: /images/20210728/b4f97d9bd15d4fe3ad8b0b7bc11b5abb.png
[format_png 6 1]: https://p1.ssl.qhimg.com/t01b5dc4e8a4e5001da.png
[format_png 7]: /images/20210728/a2ae752bd4af43cb8c6c813939fd44f7.png
[format_png 7 1]: https://p0.ssl.qhimg.com/t0115001c46f84e0035.png
[format_png 8]: /images/20210728/0adf0c95df1540198b3a355a998d2b26.png
[format_png 8 1]: https://p5.ssl.qhimg.com/t01159c6c09649dff48.png
[format_png 9]: /images/20210728/dfdbd3f8c9a6494bb3729302508ba830.png
[format_png 9 1]: https://p4.ssl.qhimg.com/t019c7310dac16110d6.png
[format_png 10]: /images/20210728/a32fdf4dcf24419cba5d7056c63074a8.png
[format_png 10 1]: https://p5.ssl.qhimg.com/t01b1ec1dbff2d980b0.png
[format_png 11]: /images/20210728/6a73e02596214cf6b527d0b52ccd7ff5.png
[format_png 11 1]: https://p3.ssl.qhimg.com/t01dc18750e7ef8a099.png
[format_png 12]: /images/20210728/ccd4047df0cf4e269b160f17e5c8c75e.png
[format_png 12 1]: https://p2.ssl.qhimg.com/t0121b377f2e82e3a14.png