Drupal SA-CORE-2019-003 远程命令执行分析

2019-02-21 17:54:38
Drupal 官方披露了一个 Drupal 的远程命令执行漏洞,漏洞的触发条件为开启了 RESTful Web Services,且允许 POST / PATCH 请求。

0. 漏洞背景

2 20 Drupal 官方披露了一个 Drupal 的远程命令执行漏洞(https://www.drupal.org/sa-core-2019-003),漏洞的触发条件为开启了 RESTful Web Services,且允许 POST / PATCH 请求。

根据 Drupal 的配置,此漏洞可能不需要任何权限即可触发。但是如果被利用,攻击者则可以直接在Web服务器上执行任意PHP代码,造成服务器被入侵、用户信息泄露等后果。

修复方案如下:

1.       Drupal 8.6.x版本升级到8.6.10

2.      Drupal 8.5.x或更早期版本版本升级到8.5.11版本

3.      Drupal 7暂无更新

缓解措施如下:

1.       禁用RESTful Web Services模块

2.      配置服务器不允许POST/PATCH请求

1. 漏洞定位

漏洞通告指出了 Drupal 8 在开启了 RESTful Web Services 模块,同时允许了 PATCH / POST 方法请求后,可以造成代码执行漏洞。

根据 commit loghttps://github.com/drupal/core/commit/24b3fae89eab2b3951f17f80a02e19d9a24750f5)可以定位到漏洞的触发原因在于反序列化的操作:

可以推测应该是在进行 REST API 操作的过程中,options 参数的内容带入到 unserialize 函数导致的。通过 diff 可以发现 LinkItem.php MapItem.php 都受到影响,这里从 LinkItem 来向上挖掘漏洞点。

查看 core\modules\link\src\Plugin\Field\FieldType\LinkItem.php


梳理了其整个调用链,从 REST 请求开始,先通过用户传入的 JSON _links.type 获取了其对应的 Entity,再获取 Entity 内的 Fields 列表,遍历这个列表得到 key,从用户传入的 JSON 内取出 key,拼接成为 field_item:key 的形式(过程略),最终在 getDefinition 内查找了 definitions 数组内的字段定义,得到一个对应的 Field 的实例对象,过程大体如下:

core\modules\rest\src\RequestHandler.php: handle()
core\modules\rest\src\RequestHandler.php: deserialize()
...
core\modules\serialization\src\Normalizer\FieldableEntityNormalizerTrait.php: denormalizeFieldData()
core\modules\serialization\src\Normalizer\FieldNormalizer.php: denormalize()
core\lib\Drupal\Component\Plugin\Discovery\DiscoveryCachedTrait.php: getDefinition()

接着 FieldNormalizer denormalize 方法调用了 Field setValue

也就是说,我们如果可以将 $field_item 控制为 LinkItem 或者 MapItem,即可触发反序列化。

2. 触发点构造

我们在 Drupal 后台配置好 RESTful Web Service 插件,选择一个可以进行 POST 的操作。为了尽可能模拟网站管理员的配置,我们这里允许对于 /user/register POST 操作。于情于理,用户注册处必然可以作为匿名用户来进行操作。开启 /user/register


设置允许匿名用户利用 POST 来访问 /user/register


上文中提到,我们需要一个 Entity 内存在 LinkItem Field。通过对于 Entity 的查找,定位到 MenuLinkContent Shortcut 使用了 LinkItem,利用 Shortcut 来进行进一步的测试。


Shortcut _links.type http://127.0.0.1/rest/type/shortcut/default,可以在单步的时候找到,过程不叙。向 /user/register 发送 POST 请求,同时在 PHPStorm 内将断点下在 core\modules\hal\src\Normalizer\FieldItemNormalizer.php denormalize 函数:


可以发现,在调用 setValue 方法的现场,$field_item LinkItem。跟入 setValue 方法(图 1),根据逻辑,如果 $values 为一个数组。且 $values['options'] 存在,那么就执行反序列化操作。我们修改 payload 为即可触发反序列化。

{
   
"link":[{"options":"123"}],
   
"title":["bbb"],
   
"_links":{
       
"type":{"href":"http://127.0.0.1/rest/type/shortcut/default"}
  }
}

攻击者利用此反序列化可以在服务器上执行任意代码。


本报告作者为腾讯云鼎实验室 技术专家Ricter

最新资讯