网站建设工作动态,wordpress次元主题,网站建设完成外网无法访问,小学学校网站前言
代码审计总是离不开一些神器#xff0c;笔者常用 Codeql[1] 这款工具辅助挖洞。当我每写一个规则都需要对其它项目手动运行检查一遍#xff0c;效率很低#xff0c;再加上 lgtm[2] 的关闭#xff0c;此项目诞生了 --- 弈(Yi)[3] 。 CVE-2021-43798
这里以 Graana 的…前言
代码审计总是离不开一些神器笔者常用 Codeql[1] 这款工具辅助挖洞。当我每写一个规则都需要对其它项目手动运行检查一遍效率很低再加上 lgtm[2] 的关闭此项目诞生了 --- 弈(Yi)[3] 。 CVE-2021-43798
这里以 Graana 的任意文件读取漏洞举例说明使用方法(初学 Codeql,如有错误之处轻点喷)。
该漏洞版本为 8.0.0 - 8.3.0 , 修复版本为 8.3.1, 8.2.7, 8.1.8, 8.0.7。
git clone https://github.com/grafana/grafana
git checkout v8.2.6
这个漏洞发生在 /public/plugins/:pluginId/* api 中当输入的 pluginId存在时会匹配*内容使用filepath.Clean清理路径中的多余字符后直接拼接到pluginFilePath,然后使用os.open(pluginFilePath)打开该文件最终回显到页面。而且plugins api权限为public是未授权的任何人都可以查看。 fmt.Println(filepath.Clean(./.../../../../../../../etc/passwd)) 输出../../../../../etc/passwd 只清除了前面的./.../../ Codeql分析
生成 codeql 数据库
codeql database create /Users/yhy/CodeQL/database/go/grafana/v8.2.6 -s ./ --languagego sink
os.open(),这个显而易见。
import go
import DataFlow::PathGraphclass Sink extends DataFlow::Node {Sink() {exists(DataFlow::CallNode call |call.getTarget().hasQualifiedName(os, Open) |call.getArgument(0) this // 标记 sink 为 os.Open 第一个参数)}
} source
我将 Source 点定在了macaron.Params()函数。
网上的文章都是以github.com/grafana/grafana/pkg/api/routing.RouteRegister作为起始点这就导致一个问题写完的规则只对grafana项目起作用不通用。
仔细研究会发现RouteRegister的实现是以gopkg.in/macaron.v1框架为基础的但是官方的go/ql/lib/semmle/go/frameworks/Macaron.qll只是实现了一个重定向相关的检测规则emmm,只能自己动手写了。
写着写着忽然发现怎么也获取不到macaron.Params, 去看 macaron[4] 源码才发现这个函数就根本没有是Grafana自己实现的。我们来分析一下这个 Params 函数。 其实就是获取net/http中Request.Context的值而参数r又是通过pkg/macaron/context.go 。 也就是 macaron[5] 框架中的Context结构体中的Req成员这个Req就是我们要找的Source点。
修改go/ql/lib/semmle/go/frameworks/Macaron.qll文件加入如下代码 private class UserControlledRequestField extends UntrustedFlowSource::Range, DataFlow::FieldReadNode {UserControlledRequestField() {exists(string fieldName | this.getField().hasQualifiedName(gopkg.in/macaron.v1, Context, fieldName) | fieldName Req)}}
单独执行可以找到污染点。 直接将 sink、source 拼接跑并没有出结果因此需要一些处理来连接数据流。 isAdditionalTaintStep
这里 tyskill[6] 师傅说的很详细引用一下 限制函数为Params。 函数可被污染就说明参数可控那么就让pred节点作为参数。 SimpleAssignStmt结构表示一个赋值表达式如abRhs表示等号右边通过查看源码可知Params函数调用几乎都是在等号右边因此可以通过该结构减少误报。 最后将输出节点连接到赋值表达式。 override predicate isAdditionalTaintStep(DataFlow::Node pred, DataFlow::Node succ) {exists(CallExpr call, SimpleAssignStmt sas |// call.getTarget().getName() Params and// 限制为 Params 函数会产生局限性去除call.getAnArgument() pred.asExpr() andsas.getRhs().getAChild() call.getParent*().getAChild() and// 使用getParent*()是因为等号右边不止有光秃秃的Params方法调用如漏洞点就存在Jion函数拼接操作需要通过传递闭包getParent*()来获取完整表达式// 使用getAChild()则是要获取Params的方法调用不过测试发现用不用效果差不多所以也不懂为什么还要加这个sas.getRhs() succ.asExpr())
}运行成功发现该漏洞。 加入工具监控、扫描
因为项目中调用 Codeql 将扫描结果保存为文件这里需在文件头添加一些描述,完整代码如下
/*** name read file* description read file* kind path-problem* problem.severity error* security-severity 6.1* sub-severity high* id yhy0/read-file* tags security* precision high*/
import go
import DataFlow::PathGraphclass ReadFileSink extends DataFlow::Node {ReadFileSink() {exists(DataFlow::CallNode call |call.getTarget().hasQualifiedName(os, Open) |call.getArgument(0) this // 标记 sink 为 os.Open 第一个参数)}
}class ReadFileConfig extends TaintTracking::Configuration {ReadFileConfig() { this read file }// 这里的 source 实现 UntrustedFlowSource ,方便其他框架通用, 对于Grafana ,我们已经修改了go/ql/lib/semmle/go/frameworks/Macaron.qll文件override predicate isSource(DataFlow::Node source) { source instanceof UntrustedFlowSource }override predicate isSink(DataFlow::Node sink) { sink instanceof ReadFileSink }override predicate isAdditionalTaintStep(DataFlow::Node pred, DataFlow::Node succ) {exists(CallExpr call, SimpleAssignStmt sas |// call.getTarget().getName() Params and// 限制为 Params 函数会产生局限性去除call.getAnArgument() pred.asExpr() andsas.getRhs().getAChild() call.getParent*().getAChild() and// 使用getParent*()是因为等号右边不止有光秃秃的Params方法调用如漏洞点就存在Jion函数拼接操作需要通过传递闭包getParent*()来获取完整表达式// 使用getAChild()则是要获取Params的方法调用不过测试发现用不用效果差不多所以也不懂为什么还要加这个sas.getRhs() succ.asExpr())}
}from ReadFileConfig rfc, DataFlow::PathNode sink, DataFlow::PathNode source
where rfc.hasFlowPath(source, sink)
select sink.getNode(), source, sink, read file find on $., source.getNode(), user-provided value
将此 ql 文件路径加入配置文件config.yaml中, - go/ql/src/myRules/ReadFile.ql ,之后程序会自动对监控的项目运行此条规则等待捡洞即可(笔者已经捡到了^_^)。 效果图
