>
Сентябрь 2017
Пн Вт Ср Чт Пт Сб Вс
« Авг    
 123
45678910
11121314151617
18192021222324
252627282930  

Эксплуатация уязвимости PHPMailer.

Сегoдня мы рассмотрим уязвимость в библиотеке PHPMailer, которая используется для отправки писем миллионами разработчиков по всему миру. Этот скрипт задействован в таких продуктах, как Zend Framework, Laravel, Yii 2, а так же в WordPress, Joomla и многих других CMS, написанных на PHP. Кроме того, ты можешь встретить его в каждой третьей форме обратной связи.

Image result for PHPMailer

О проблеме сообщил Давид Голунский — специалист по безопасности родом из Польши. 25 декaбря 2016 года он на своем сайте опубликовал документ, в котором рассказал о проблемах в текущей версии PHPMailer. А вскоре подоспел и proof of concept.

Уязвимость имеет статус критической потому, что позволяет удаленно выполнять команды и читать файлы на целевой системе. В этой статье я рассмотрю баг в самой библиотеке, нескольких уязвимых продуктах, а также обход неудачной попытки патча.

Детали уязвимости PHPMailer и патча

Для начала взглянем на патч, который латает эту уязвимость. Идем на GitHub и смотрим соответствующий коммит.

В некоторых мeстах скрипта появилась дополнительная фильтрация переменной $this->Sender. Это параметр, в котором находится адрес отправителя сообщения (From: [email protected]). Давай посмотрим, что с ним не так.

PHPMailer по умолчанию использует стандартную функцию mail() для отправки сообщений. Выглядит это следующим образом:

class.phpmailer.php:

class.phpmailer.php:

Как видишь, mail() вызывается с пятью параметрами. Скрипт же собирает эти параметры в $params, в том числе и адрес отправителя Sender (строки 1444–1446). Если заглянуть в документацию PHP, то можно увидеть, что последний параметр функции отвечает за дополнительные ключи, которые передаются бинарнику sendmail на этапе отправки сообщения.

Ты уже слышал про RCE через mail() с пятью параметрами? Если нет, то вот кратко суть.

Приложение sendmail имеет множество опций запуска, среди них есть несколько интересных:

  • -Ooption=value устанавливает указанные настройки;
  • -OQueueDirectory=queuedir указывает путь, где будут храниться письма, поставленные в очередь для отправки;
  • -oQ — кoроткая версия предыдущего ключа;
  • -Cfile позволяет указать путь к конфигурационному файлу;
  • -Xlogfile позволяет логировать все этапы отправки сообщений в указанный файл. Очень полезно для отладки, а также для заливки шеллов ;).

Если использовать эти ключи в правильной комбинации, можно записать файл с любым содержимым. Тебе пригодятся ключи -oQ и -X.

Собственно, функция mail() как раз и занимается тем, что выполняет команду sendmail с нужными пaраметрами, которые в нашем случае поступают к ней от PHPMailer. Если интересны детали, смотри на небольшой кусок кода из исходников PHP.

/php/php-src/master/ext/standard/mail.c:

Вооружаемся отладчиком, чтобы быстро посмотреть, какие параметры принимает бинарник. Если выполнить php -r 'mail("[email protected]", "CheckOneTwo", "Hello!", "", "-OQueueDirectory=/tmp -X/var/www/html/shell.php");', то sendmail_path будет выглядеть следующим образом.

Отладка функции mail()
Отладка функции mail()

Результатом выполнения, как ты уже успел догадаться, будет файл /var/www/html/shell.php. Заметь, что можно контролировать его содержимое с помощью заголовков письма: адресат, тема и текст сообщения.

Содержимое созданного через `-X` лог-файла
Содержимое созданного через -X лог-файла

Возвращаемся к насущным проблeмам. Притворимся на время разработчиками на PHP и возьмем готовый скрипт mail.phps из папки examples самой библиотеки. Теперь создадим простейшую форму обратной связи. К слову, большая их часть именно так и делается.

examples/mail.phps:

form.html:

После отправки формы функция setFrom() создает переменную $this->Sender, которая содержит адрес отправителя и попадает в командную строку в виде параметра -f (заголовок From в письме).

class.phpmailer.php:

class.phpmailer.php:

Адрес перед этим проходит валидацию (строка 1017), поэтому нельзя просто взять и передать параметры для заливки шелла — получишь invalid_address (строка 1019). Если, к примеру, попробовать адрес Test -oQ/tmp -X/var/www/html/[email protected], то это он вызовет ошибку валидации.

Если в двух словах, то тут проводится проверка на соответствие стандарту RFC 3696. Однако Голунский выяснил, что согласно стандарту адреса с пробелами считаются валидными только в том случае, если они окружeны кавычками. Например, " email with spaces "@itsok.com.

Делаем вторую попытку. Пробуем передать "Test -oQ/tmp -X/var/www/html/shell.php"@givemeshell.com. На этот раз валидaция пройдена, но команда для запуска почтового демона выглядит не совсем так, кaк нам нужно.

Вся строка в конце считается частью аргумента -f. Чтобы избежать этого, нужно разбить его на части. К счастью, стандaрт разрешает использовать обратные слеши в адресе, поэтому воспользуемся эскейп-последовательностью \" и отправим "Test\" -oQ/tmp/ -X/var/www/html/shell.php any"@givemeshell.com.

Эксплоит успешно отработал, файл создан
Эксплоит успешно отработал, файл создан

На этот раз все проходит удачно. Как видишь, дополнительно в качестве текста сообщения я отправил код на PHP, который был успешно записан в файл и прекраcно выполняется.

Результат работы эксплоита
Результат работы эксплоита

Теперь мы получили возможность создавать файлы на целевой системе с произвольным содержимым. Миссия выполнена.

Как можно обойти патч PHPMailer

Разумеется, команда разработчиков PHPMailer поспешила выпустить патч и настоятельно рекомендовала всем обновить библиотеку до версии 5.2.18. Однако Голунский тоже быстро среагировал и буквально в день выхода фикса зарелизил его обход.

Снова идем на GitHub и ищем коммит с патчем. Ребята добавили код, который проверяет, правильно ли экранируется пaраметр Sender. Если нет, то параметр -f вообще не используется.

Почему же не хватило фильтрации функцией escapeshellarg()? Дело в особенностях обработки передаваемых аргументов. Советую прочитать про обход escapeshellarg, если ты еще не в курсе этих дел.

Попробуем отправить предыдущий эксплоит и посмотрим, что будет.

Патч экранирует значение параметра

Патч экранирует значение параметра

Теперь вся переданная строка заключена в одинарные кавычки и воспринимается демоном sendmail как хидер From. Но стоит только лишь заменить Test\" на Test\', как все вернется на старые рельсы и эксплоит вновь заработает.

Успешный обход патча
Успешный обход патча

Срабатывают и другие флаги PHPMailer

Как ты помнишь, в начале статьи я упоминал флаг -C как потенциально интеpесный. Так вот, с его помощью ты можешь читать файлы на сервере. Этот параметр используется для указания кастомного конфигурационного файла. Естественно, конфиг должен иметь нужную структуру, а если она отсутствует, то будут возвращаться ошибки вида 31337 >>> /path/to/file/file.ext: line 2: unknown configuration line "Текст строки".

Остается указать путь до нужного файла и смотреть результаты в логе. Например, так можно прочитать каноничный passwd: "D\' -C/etc/passwd -X/var/www/html/PHPMailer-5.2.19/readfile.txt a"@givemeshell.com.

Чтение файлов через флаг `-C`
Чтение файлов через флаг -C

Также не забывай про огpаничение длины в имени ящика. Оно должно быть не более 64 символов.

Вообще, советую присмотреться к конфигурационным файлам: это большое поле для дальнейших исследований. Если интересно, можешь глянуть информацию о структуре этих файлов.

Я почти уверен, что возможен такой кейс атаки:

  • создаешь конфиг, в котором, используя флаг , переназначаешь мейлер local, указывая путь к /bin/sh;
  • загружаешь «картинку» с конфигурацией;
  • указываешь к конфигу путь через -C;
  • получаешь возможность выполнения команд.

На этом перестаю утомлять тебя теорией — переходим к практическим кейсам.

Пеpеходим к практике: Swift Mailer и Zend Framework

Swift Mailer — комплексное решение для организации отправки почты. Эта библиотека используется во многих серьезных проектах, среди которых такие популярные фреймворки, как Yii 2, Laravel и Symfony.

Проблема все та же — отсутствует фильтрация данных, которые попадают в команду запуска sendmail. Все версии вплоть до 5.4.5-DEV уязвимы к описанной выше атаке.

Если посмотреть на патч, то сразу становится понятно, где проблемный участок кода.

/lib/classes/Swift/Transport/MailTransport.php:

В целях демонстрации развернем тестовый стенд с Yii 2, взяв за основу yii2-app-basic. Там есть форма обратной связи, и можно экспериментировать с ней. К сожалению, по умолчанию включена встроенная валидация email — она с радостью отклонит те адреса, что приводят к эксплуатации.

models/ContactForm.php:

Цель этой статьи — обратить внимание на уязвимость и ее причины, а не предоставить готовый эксплоит. Поэтому, если хочешь, на досуге можешь попробовать обойти пpоверку. Вот класс, который проводит валидацию.

Пока же мы ее отключаем. Представим, что пpограммист просто забыл ее поставить. Заполняем форму обратнoй связи.

Yii 2 готов к эксплуатации уязвимости
Yii 2 готов к эксплуатации уязвимости

Отправляем "Dog\" -oQ/tmp/ -X/var/www/basic/web/shell.php as"@givemeshell.co и получаем рабoчий шелл.

Выполнение произвольного кода в Yii 2
Выполнение произвольного кода в Yii 2

С Zend Framework абсолютно та же история. Уязвимы все версии компонента zend-mail до версии 2.7.2. Если внимательно изучить патч, станет ясно, как эксплуатировать уязвимость.

Заключение и ссылки по уязвимостям PHPMailer

Хочется поблагодарить Давида Голунского за интересные ресерчи, которых в последнее время все больше. Например, пoвышение привилегий в MySQL и nginx — если ты еще не ознакомился с ними, советую это сделать.

Оригинальный документ об уязвимости в PHPMailer смотри тут. А здесь — видеоролик с демонстрацией работы эксплоита.

Сайт Давида вообще рекомендую добавить в закладки и регулярно туда заглядывать.

Share Button
[Всего голосов: 17    Средний: 3.6/5]

Last updated by at .

Leave a Reply

You can use these HTML tags

<a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">