curl任意文件写入漏洞分析与技术细节

curl | 报告 #3250117 - 未受控文件写入/任意文件创建

漏洞描述

提供的代码片段中的dumpeasysrc函数允许攻击者通过global->libcurl变量指定任意文件路径来输出生成的libcurl源代码。如果global->libcurl值未经过适当清理或限制,恶意用户可以提供敏感系统文件(如/etc/passwd/etc/cron.d/malicious_job、用户的.bashrc等)或设备文件(如/dev/null/dev/random)的路径。

核心问题是直接调用fopen(o, FOPEN_WRITETEXT),其中o = global->libcurl,且未对提供的路径进行任何检查。

漏洞代码

void dumpeasysrc(struct GlobalConfig *global)
{
  struct curl_slist *ptr;
  char *o = global->libcurl; // <--- 'o'保存用户提供的文件路径

  FILE *out;
  bool fopened = FALSE;
  if(strcmp(o, "-")) {
    out = fopen(o, FOPEN_WRITETEXT); // <--- 在fopen()中直接使用用户提供的路径
    fopened = TRUE;
  }
  else
    out = stdout;
  // ... 函数其余部分向'out'写入数据
}

概念验证(POC)

为了证明真实漏洞并逐步演示,我将展示在标准临时目录中覆盖用户创建的非关键文件。这易于复现,并清楚地显示了完整性影响,而不会尝试直接破坏关键系统文件(普通用户的操作系统权限可能会阻止此类操作)。

  1. 在临时位置创建一个独特的虚拟文件:
echo "This is the ORIGINAL content of the file." > /tmp/curl_test_overwrite.txt
ls -l /tmp/curl_test_overwrite.txt
cat /tmp/curl_test_overwrite.txt
  1. 执行易受攻击的curl命令来覆盖文件:
    假设您的curl可执行文件(使用易受攻击代码构建的版本)可在PATH中访问,或者您正在使用./curl运行它。

Curl版本信息:

└─# ./curl -V                                                        
WARNING: this libcurl is Debug-enabled, do not use in production

curl 8.15.0-DEV (x86_64-pc-linux-gnu) libcurl/8.15.0-DEV zlib/1.3.1 libpsl/0.21.2
Release-Date: [unreleased]
Protocols: dict file ftp gopher http imap ipfs ipns mqtt pop3 rtsp smtp telnet tftp ws
Features: alt-svc AsynchDNS Debug IPv6 Largefile libz PSL threadsafe TrackMemory UnixSockets

执行覆盖命令:

./curl --libcurl /tmp/curl_test_overwrite.txt http://example.com

使用http://example.comgoogle.com更好,因为它避免了潜在的重定向,并使curl输出更简单,专注于--libcurl方面。

  1. 验证curl执行后文件的内容:
cat /tmp/curl_test_overwrite.txt

/tmp/curl_test_overwrite.txt的内容将被生成的libcurl C代码替换。

影响

数据损坏/丢失:任意文件可以被生成的libcurl C源代码覆盖。

时间线与回应

  • 3天前:tryhackplanet向curl提交报告
  • bagder (curl工作人员) 评论:不,这是curl按设计工作。用户提供文件名让curl创建源代码。这不是攻击。
  • bagder 将报告关闭并将状态更改为"不适用"
  • bagder 请求披露此报告:根据项目的透明政策,我们希望所有报告都被披露并公开
  • jimfuller2024 (curl工作人员) 评论:也许我漏掉了什么 - 我也没有看到任何安全问题
  • bagder 再次评论:curl可以在操作系统允许的任何地方创建文件,使用许多不同的命令行选项。这是设计使然
  • bagder 披露了此报告

报告详情

  • 报告时间:2025年7月13日 16:50 UTC
  • 报告者:tryhackplanet
  • 报告对象:curl
  • 报告ID:#3250117
  • 严重性:高(7 ~ 8.9)
  • 披露时间:2025年7月13日 17:12 UTC
  • 弱点类型:代码注入
  • CVE ID:无
  • 赏金:无
    更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
    公众号二维码
posted @ 2025-09-20 20:06  qife  阅读(19)  评论(0)    收藏  举报