Ruby on Rails路径穿越与任意文件读取漏洞分析（CVE-2019-5418）

迈不过友情╰ 2021-09-01 05:53 343阅读 0赞

**Ruby on Rails是一个 Web 应用程序框架,是一个相对较新的 Web 应用程序框架，构建在 Ruby 语言之上。它被宣传为现有企业框架的一个替代，而它的目标，就是让 Web 开发方面的生活，变得更轻松。**

【CVE-2019-5418】漏洞公告： [公告地址][Link 1]。

Versions Affected:  All. 
    Not affected:       None. 
    Fixed Versions:     6.0.0.beta3, 5.2.2.1, 5.1.6.2, 5.0.7.2, 4.2.11.1 
    Impact 
    There is a possible file content disclosure vulnerability in Action View. 
    Specially crafted accept headers in combination with calls to render file: 
    can cause arbitrary files on the target server to be rendered, disclosing the 
    file contents. 
    The impact is limited to calls to render which render file contents without 
    a specified accept format.  Impacted code in a controller looks something like 
    this: 
    class UserController < ApplicationController 
    def index 
        render file: "#{Rails.root}/some/file" 
    end 
    end

这个漏洞主要是由于网站使用了为指定参数的render file来渲染应用之外的视图，我们可以通过修改访问某控制器的请求包，通过“../../../../”来达到路径穿越的目的，然后再通过“\{ \{”来进行模板查询路径的闭合，使得所要访问的文件被当做外部模板来解析。

## 实验环境 ##

> Centos7桌面版，装有Ruby On Rails环境。

## **Ruby On Rails****环境搭建** ##

1.   安装git  \#yum install git

2.   安装rbenv到~/.rbenv目录

git clonegit://github.com/sstephenson/rbenv.git~/.rbenv

3.   安装rbenv的插，用来编译安装 ruby

git clonegit://github.com/sstephenson/ruby-build.git~/.rbenv/plugins/ruby-build

4.   用来管理 gemset, 可选, 因为有 bundler 也没什么必要

git clone git://github.com/jamis/rbenv-gemset.git ~/.rbenv/plugins/rbenv-gemset

5.   通过 gem 命令安装完 gem 后无需手动输入 rbenv rehash 命令

git clonegit://github.com/sstephenson/rbenv-gem-rehash.git~/.rbenv/plugins/rbenv-gem-rehash

6.   通过 rbenv update 命令来更新 rbenv 以及所有插件

git clone git://github.com/rkh/rbenv-update.git~/.rbenv/plugins/rbenv-update

7.   使用 Ruby China 的镜像安装 Ruby, 国内用户推荐

git clonegit://github.com/AndorChen/rbenv-china-mirror.git~/.rbenv/plugins/rbenv-china-mirror

8.   然后需要将下面两句代码放在bash的配置文件中：

`export PATH="$HOME/.rbenv/bin:$PATH"`

`eval "$(rbenv init -)"`

9.   位置是在.bash\_profile（Ubuntu中应该是.bashrc）修改完成后，执行下面的命令使其生效

source ~/.bashrc

10. 安装ruby

`rbenv install --list  # 列出所有ruby 版本`

`rbenv install 2.3.3   #安装2.3.3版本Ruby`

11. 设置使用的ruby版本

`rbenv global 2.3.3      # 默认使用2.3.3，此步骤不能省略`

`ruby –v                #查看安装的Ruby版本`

12. 安装rails

设置ruby版本后，安装rails（指定rails版本）：

1）在当前的ruby版本中安装rails

gem install rails -v 5.2.1   #指定版本

2）查看rails安装版本

rails –v

3）修改bundle的源地址（可能需要修改，视情况而定。）

bundle config mirror.https://rubygems.orghttps://gems.ruby-china.org

执行bundleinstall

在项目根目录执行bundleinstall

问题解决（在安装和运行的过程中，可能会出现各种各样的问题， [链接文字][Link 1]我就是安装下面的这些依赖的，但是不一定和我这个一样，大家还是根据自己的提示来吧）：

`yum -y install gcc`

`yum install flex autoconf zlib curlzlib-devel curl-devel bzip2 bzip2-develncurses-devel libjpeg-devel libpng-devel libtiff-develfreetype-devel pam-develgcc+ gcc-c++ libxml2 libxml2-devel libxslt libxslt-devel`

`yum install sqlite*`

## 漏洞复现 ##

1.   先下载原码（;">路径“/root /CVE-2019-5418/”）， [源码地址][Link 2]。

2.   进入“/root”路径下，执行“source .bash\_profile”

![image.png][]

3.   将下载得到的压缩包进行解压，进入demo路径下执行：

bundle install

4.   在demo路径下执行“rails s”,开启服务。

![image.png][image.png 1]5.   此时漏洞环境已搭建完成且开始运行，使用浏览器测试能否访问。如下图表示可正常访问

![image.png][image.png 2]6.   访问“chybeta”路径：

7.   我们使用浏览器自带的开发者工具进行漏洞复现，按“f12”打开工具，修改这条请求，修改内容如下：

../../../../../../etc/passwd{
       {

![image.png][image.png 3]

![image.png][image.png 4]![image.png][image.png 5]

8.   漏洞复现成功，成功读取到passwd文件的内容：

![image.png][image.png 6]

9.   或者，我们也可以使用burp suite来抓包，设置好浏览器代理，访问“/chybeta”路径抓包.我们只要修改好流量包的内容重新发送即可。用浏览器自带的工具实现功能，我就不想在使用Burp suite了。之后就可以很简单的得到目标主机的passwd文件内容。

## 漏洞分析 ##

漏洞影响所有版本的rails，但是目前已经有几个版本修复了此漏洞：

`6.0.0.beta3,`

`5.2.2.1`

`5.1.6.2`

`5.0.7.2`

`4.2.11.1`

我们先看一下正常访问时什么样的吧：

![image.png][image.png 7]可以看到我们每获取一个请求，Ruby On Rails就会使用Render file（没有指定参数）的渲染模式来渲染目标。这样就会在我们攻击的时候，将目标文件当做模板来渲染，然后返回给浏览器：哈哈哈哈。

**![image.png][image.png 8]**** **rails在控制器中通过render file形式来渲染应用之外的视图，因此在“.rbenv/versions/2.3.3/lib/ruby/gems/2.3.0/gems/actionview-5.2.1/lib/action\_view/renderer/template\_renderer.rb”中会根据“options.key?(:file)”，调用“find\_file”函数来寻找视图。代码如下：

`module ActionView`

`  class TemplateRenderer < AbstractRenderer#:nodoc:`

`    # Determine the template to be renderedusing the given options.`

`      def determine_template(options)`

`        keys = options.has_key?(:locals) ?options[:locals].keys : []`

`        if options.key?(:body)`

`          ...`

`        elsif options.key?(:file)`

`          with_fallbacks {find_file(options[:file], nil, false, keys, @details) }`

`        ...`

`      end`

`end`

“find\_file”代码如下（路径为：“.rbenv/versions/2.3.3/lib/ruby/gems/2.3.0/gems/actionview-5.2.1/lib/action\_view/lookup\_context.rb”）

![image.png][image.png 9]

发现“find\_file”又调用了“\*args\_for\_lookup”,所以我们继续跟入查看“args\_for\_lookup”函数，代码如下：

![image.png][image.png 10]

此函数会生成用于查找文件的参数，当其最终返回时会把payload保存在details\[formats\]中(大家自己做实验的时候可以直接访问一个不存在的文件，这样会直接显示访问的详细信息)。

再回到“find\_file”函数，跟进之后，会进入到：“.rbenv/versions/2.3.3/lib/ruby/gems/2.3.0/gems/actionview-5.2.1/lib/action\_view/path\_set.rb”。

`class PathSet #:nodoc:`

`   def find_file(path, prefixes = [], *args)`

`     _find_all(path, prefixes, args, true).first ||raise(MissingTemplate.new(self, path, prefixes, *args))`

`   end`

`   private`

`    #注，这里的 args 即前面args_for_lookup生成的details`

`       def _find_all(path, prefixes, args, outside_app)`

`           prefixes = [prefixes] if String === prefixes`

`           prefixes.each do |prefix|`

`           paths.each do |resolver|`

`                if outside_app`

`                templates =resolver.find_all_anywhere(path, prefix, *args)`

`                else`

`                templates =resolver.find_all(path, prefix, *args)`

`                end`

`                return templates unlesstemplates.empty?`

`           end`

`           []`

`       end`

由于要渲染的视图在应用之外（outside\_app,因此跟入“find\_all\_anywhere”（在“.rbenv/versions/2.3.3/lib/ruby/gems/2.3.0/gems/actionview-5.2.1/lib/action\_view/template/resolver.rb”）：

`def find_all_anywhere(name, prefix, partial= false, details = {}, key = nil, locals = [])`

`   cached(key, [name, prefix, partial], details, locals) do`

`   find_templates(name, prefix, partial, details, true)`

`   end`

`end`

进入find\_templates，这就是根据条件来查找要渲染的模板：

![image.png][image.png 11]

从代码便可以看到，所查找的模板会赋值给details\[:formats\],如果建立建立查询后，查询内容就会如下：

![image.png][image.png 12]

利用../与前缀组合造成路径穿越，利用最后的\{ \{完成闭合。

最后“/etc/passwd”被当成模板文件进行渲染，最后造成了任意文件读取。

使用IDE环境进行调试，最后组成的路径应该是：

/etc/passwd{
       {},}{+{},}{.{raw,erb,html,builder,ruby,coffee,jbuilder},}

## **漏洞修复** ##

> 1.  使用已经修复该漏洞的版本
> 
> 2.  补丁：[补丁地址][Link 3]

[Link 1]: http://www.example.com/
[Link 2]: https://github.com/mpgn/CVE-2019-5418
[image.png]: /images/20210728/699b9f02733e45ad964333ea46ca1157.png
[image.png 1]: /images/20210728/2256d7c224134a5fbfb568dd72b32305.png
[image.png 2]: /images/20210728/3078466bedc743cbbafa0dc2f32bfcc1.png
[image.png 3]: /images/20210728/f09ea62b467846e3890606eb9ebee28b.png
[image.png 4]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly9pbWFnZS4zMDAxLm5ldC9pbWFnZXMvMjAxOTAzMzEvMTU1NDAwMDUxOF81Y2EwMmE4NjIwYzY0LnBuZyFzbWFsbA?x-oss-process=image/format,png
[image.png 5]: /images/20210728/9d7e13bbee4a4fb4807410dcff8ed5dd.png
[image.png 6]: /images/20210728/ca49f9615ad5402d8e9abdcd859fafdb.png
[image.png 7]: /images/20210728/0c807aee54374e7db1ebc59eaa4ea21a.png
[image.png 8]: /images/20210728/6333132e70964543a4cca77ac09a4f93.png
[image.png 9]: /images/20210728/2b0d41771170403c9e275f9fdec131f8.png
[image.png 10]: /images/20210728/00c4e920db794d9eb0e06c0e89318aac.png
[image.png 11]: /images/20210728/a92c8f6c49e343e5a16dcfbf034a16e9.png
[image.png 12]: /images/20210728/4eb444e834ba4cf1835c2fc6358ae63d.png
[Link 3]: https://github.com/rails/rails/commit/f4c70c2222180b8d9d924f00af0c7fd632e26715