CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

Web安全

漏洞分析

漏洞简介

OpenWrt LuCI是一款用于OpenWrt（Linux发行版）的图形化配置界面。
OpenWrt LuCI 0.10及之前版本中的admin/status/realtime/bandwidth_status和admin/status/realtime/wireless_status端点存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。

由于OpenWrt中自带LuCI，只需要使用虚拟机正常运行OpenWrt即可，在这里使用VMware运行OpenWrt虚拟机。
OpenWrt版本：Chaos Calmer OpenWrt 15.05.1
下载地址：https://archive.openwrt.org/chaos_calmer/15.05.1/x86/generic/openwrt-15.05.1-x86-generic-combined-ext4.img.gz
安装成功后成功访问LuCI主页：

设置登陆密码后成功登陆：

为了直接分析LuCI源码，在虚拟机中找到LuCI的地址并使用tar打包：

由于openwrt中没有文件下载工具，而LuCI已经把目录映射了，直接将打包文件移动至http映射目录下，走http下载LuCI源码：

传入Payload: http://192.168.153.4/cgi-bin/luci/admin/status/realtime/bandwidth_status/eth0$(id>cmd)：

成功执行命令：

LuCI采用了典型的MVC三层架构，并使用Lua脚本开发；在解析请求时，首先进入admin/status.lua中的controller入口进行路由，然后调用相应的model进行处理。
而漏洞的触发点是在controller的bandwidth_status函数中，该函数将用户传入的字符串直接格式化到命令中并执行，造成了RCE。
代码具体执行过程如下：使用HTTP访问路径/admin/status/realtime/bandwidth_status(或wireless_status)/[param]，首先进入index entry进行路由，在路由中使用dispatcher的call函数调用了action_bandwidth函数： Controller/index.lua:

Dispatcher.lua中的call函数:

然后，进入action_bandwidth函数，url解析路由之后的部分将被当做参数传入，未过滤而使用%q直接将参数格式化到字符串中。%q将在iface外包裹双引号。
使用io.popen执行命令，在bash下，双引号中的$()或``会执行，从而达到命令执行的目的：

此处相当于执行命令：sh -c luci-bwc –i “eth0$(id>cmd)” 2>/dev/null：

使用EXP执行ping命令后，可以在openwrt下查看到执行的命令：

脚本已上传：https://github.com/HACHp1/LuCI_RCE_exp 执行效果：

在执行的命令中需要斜杠(/)时，由于路径解析的问题，斜杠无法使用，此时可以考虑使用bash内置变量来代替。

在LuCI中，${PATH:0:1}是没有被更改的，可以直接使用。测试payload为：ls ${PATH:0:1}。

查看源码修复漏洞的地方，新的源码使用gsub将iface中的单引号去掉，并在最外层加上了单引号，这样整个iface参数就仅作为字符串而不会被执行：

在源码中输出一下：

Iface参数被单引号包裹，作为r参数传入luci-bwc，不会执行ls命令：

整个漏洞与半年前爆出的thinkphp RCE都与路由解析和controller相关，可见MVC构建的controller处比较容易出现安全漏洞。由于MVC模型的特性，Controller是MVC模式函数调用的入口，如果攻击者能够控制controller或者能够注入并利用controller，就容易出现漏洞。