如何進行GoAead RCE預警分析，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

目前創(chuàng)新互聯(lián)公司已為近千家的企業(yè)提供了網(wǎng)站建設、域名、網(wǎng)站空間、成都網(wǎng)站托管、企業(yè)網(wǎng)站設計、共和網(wǎng)站維護等服務，公司將堅持客戶導向、應用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

0x00 背景介紹

12月12日，MITRE披露一枚GoAhead的漏洞，編號為CVE-2017-17562，受影響的GoAhead，如果啟用CGI動態(tài)鏈接，會有遠程代碼執(zhí)行的危險。GoAhead廣泛應用于嵌入式設備中。360CERT經(jīng)過評估，確認該漏洞屬于高危，建議用戶盡快進行修復。

0x01 技術細節(jié)

定位到漏洞位置：cgi.c:cgiHandler()，其中envp分配一個數(shù)組，并由HTTP請求參數(shù)中的鍵值對進行填充，這個過程中只是對REMOTE_HOST和HTTP_AUTHORIZATION進行過濾，導致攻擊者可以利用其他cgi進程的任意環(huán)境變量。

envp填充完成后，會通過launchCgi進行調(diào)用，進行啟動cgi進程。

0x02 漏洞驗證

---

上面也提到了，因為過濾不完善，惡意的envp被傳入launchCgi進行執(zhí)行，這時我們需要知道cgiPath（我們的payload路徑）。這個問題不大，Linux procfs文件系統(tǒng)，可以使用LD_PRELOAD=/proc/self/fd/0進行引用stdin，他將指向我們寫入的臨時文件。在HTTP請求時加入?LD_PRELOAD=/proc/self/fd/0便可。

0x03 影響范圍

---

根據(jù)360CERT的QUAKE全網(wǎng)資產(chǎn)檢索系統(tǒng)評估，全網(wǎng)有數(shù)百萬設備運行著GoAhead服務，考慮到嵌入式設備更新的滯后性，受該漏洞影響的設備較廣。

0x04 修補建議

360CERT建議使用GoAhead產(chǎn)品的用戶，檢查當前應用版本，如果是易受攻擊版本，請盡快更新相關補丁。

看完上述內(nèi)容，你們掌握如何進行GoAead RCE預警分析的方法了嗎？如果還想學到更多技能或想了解更多相關內(nèi)容，歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

當前標題：如何進行GoAeadRCE預警分析
文章轉(zhuǎn)載：http://aaarwkj.com/article16/jpohdg.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供、網(wǎng)頁設計公司、商城網(wǎng)站、App開發(fā)、外貿(mào)建站、自適應網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)