漏洞简介
Openfire 的管理控制台(Admin Console)是一个基于 Web 的应用程序,Openfire Administration console 存在权限绕过漏洞,这允许未经身份验证的用户在已配置的 Openfire 环境中使用未经身份验证的 Openfire 设置环境,以访问为管理用户保留的 Openfire 管理控制台中的受限页面。
影响版本
3.10.0<=Openfire<4.6.8
4.7.0 <=Openfire<4.7.5
环境搭建
利用docker 来搭建环境
docker search openfire
docker pull bunnyfu/openfire
docker run -d -P bunnyfu/openfire
访问 http://127.0.0.1:32789/ 填写相关信息,成功创建 Openfire 服务
漏洞复现
通过访问 http://127.0.0.1:32789/setup/setup-s/%u002e%u002e/%u002e%u002e/log.jsp
判断是否存在日志信息,存在则证明存在该漏洞
不加 cookie 实现其中的创建用户的操作
提示需要登录
构造 payload 使得不需要登录就可以触发功能
成功添加用户 testa
已经获取了整个网站的权限,后续的利用可以通过上传插件实现命令执行
简单分析
https://github.com/igniterealtime/Openfire/compare/v4.6.7...v4.6.8
利用 github 的对比功能进行比较分析
之前 setup/setup-* 是属于不被校验的
如果匹配到的是setup/setup-*,满足exclude.endsWith("*"),同时url不包含..或者%2e那么就返回true
加上了一层解码操作进行了修复
