设为首页
收藏本站
PLC技术网
开启辅助访问
切换到宽版
登录
注册哦
只需一步,快速开始
微信扫码登录
门户
Portal
论坛
BBS
导读
Guide
排行榜
Ranklist
搜索
搜索
本版
文章
帖子
用户
PLC论坛-全力打造可编程控制器专业技术论坛
»
论坛
›
工控技术交流区
›
『国产:台达/汇川/信捷产品交流区』
›
信捷PLC编程软件zip slip漏洞:CVE-2021-34605研究 ...
返回列表
发新帖
[信捷]
信捷PLC编程软件zip slip漏洞:CVE-2021-34605研究
[复制链接]
86040
|
0
|
2024-1-7 07:19:24
|
显示全部楼层
|
阅读模式
信捷电气股份有限公司(XINJE)是一家专注于工业自动化产品研发与应用的国内知名企业,该公司拥有可编程控制器(PLC)、人机界面(HMI)、工业信息化、伺服控制系统、变频步进等核心产品,在北京奥运会、上海工博会等国家重点工程项目上都有信捷产品的正式应用。
信捷PLC编程软件是一款功能强大的PLC编程软件,操作简单便利,能够帮助用户使用各种编程模式进行PLC的编程管理工作,让编程更加方便快捷,提高工作效率。
Part1漏洞状态
漏洞细节
漏洞POC
漏洞EXP
在野利用
有
有
无
无
Part2漏洞描述
信捷PLC编程软件V3.5.1存在zip slip漏洞,攻击者在打开特殊制作的项目文件时,可获得任意文件写入权限,该漏洞可以用伪造的含有目录遍历文件名(e.g. ../../evil.sh)的存档进行利用,其结果可导致攻击者在系统中任意写文件,甚至会导致远程命令执行或拒绝服务。
漏洞名称
信捷PLC编程软件zipslip漏洞
CVE编号
CVE-2021-34605
漏洞类型
zip slip
漏洞等级
高危(7.3)
公开状态
公开
受影响产品
V3.5.1(可能其他版本也存在)
时间线
2021.06.10– 获得CVE ID
Part3漏洞复现1. 实验环境实验主机:win10软件版本:信捷PLC编程软件V3.5.12. 涉及工具Python3010editorProcess Monitor3. 漏洞复现1)第一步首先需要构造恶意项目文件,根据如下脚本可以生成一个名为“poc.zip”文件,阅读脚本可知,一旦在有漏洞的环境加载“poc.zip”后,“hello.txt”文件会被解压至C:\temp目录下。
“poc.zip”压缩文件内容如下图所示:
2)将第一步生成的“poc.zip”重命名为“poc.xdp”。3)使用信捷PLC编程软件打开“poc.xdp”项目文件,如下图所示:
点击“打开”按钮后,应用程序报错,同时查看C:\temp目录,发现文件被成功解压至此,如下图所示:
Part4漏洞分析
当用信捷PLC编程软件打开项目文件时,程序会提示项目文件的类型为*.xdp或*.xcp文件。
通过程序的导出下载文件功能下载PLC项目文件,并用010editor打开,发现项目文件的文件头为PK\x03\x04,文件头与zip格式的文件头一致,如下图所示:
而且该文件类型几乎可以被任何压缩工具(例如7z、zip)提取。更有趣的是,通过Process Monitor发现当程序打开一个项目文件时,它会立即将其解压缩到安装目录下的一个临时目录,如下图所示:
这种行为表明程序假定它是用管理员权限执行的。再加上被提取的文件是zip文件,这立即使人怀疑是否可以利用zip slip漏洞(任意文件覆盖漏洞)来获得任意的写权限。
使用ProcessMonitor查看解压文件(C:\temp\hello.txt)进程的详细信息,发现该进程加载了ICSharpCode.SharpZipLib.dll库文件,该库文件可用于C#实现文件压缩解压功能,如下图所示:
使用dnspy 反编译工具对信捷PLC编程软件进行分析,在ICSharpCode.SharpZipLib.dll下的ZipInputStream中的第77行代码处加断点,该行执行完成之后会将解压文件的路径与文件名长度之和赋值“num4”,如下图所示:
跟入,首先代码会将文件名赋值给“ClearText”、“RawDate”,将文件名的长度赋值给“cleartextlength”,如下图所示:
经过一系列操作,最终会将待解压文件路径的长度赋值“num4”,其值为0x2c(十进制为44),如下图所示:
第81行执行完将解压文件路径及文件名赋值给数组array,其长度为“num4”即0x2c。
第82行执行完会将数组“array”转换为字符串并赋值给“name”,其值为“../../../../../../../../../../temp/hello.txt”,如下图所示:
第83行,当执行到ZipEntry的第39行时,将“name”赋值给Entry.name,如下图所示:
这里没有对目录回退符进行检查,通过一系列操作将“..”赋值给“folderName”,如下图所示:
通过一系列操作最终将目录会回退符拼接至解压路径,如下图所示:
Part5修复建议
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
注册哦
x
回复
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
注册哦
本版积分规则
发表回复
回帖后跳转到最后一页
sousoft
回复楼主
返回列表
『国外:三菱/西门子/欧姆龙/松下』
『国产:台达/汇川/信捷产品交流区』