Aria2-CVE-2023-39141漏洞分析

前言：

在偶然一次的渗透靶机的时候，上网查询Aria2的历史漏洞，发现了这个漏洞，但是网上并没有对应的漏洞解释，于是我就就源代码进行分析，发现这是一个非常简单的漏洞，于是发这篇文章跟大家分享一下。

Aria2

aria2 是一款用于下载文件的实用程序。支持的协议包括 HTTP(S)、FTP、SFTP、BitTorrent 和 Metalink。aria2 可以从多个来源/协议下载文件，并尝试利用您的最大下载带宽。它支持同时从 HTTP(S)/FTP/SFTP 和 BitTorrent 下载文件，同时将从 HTTP(S)/FTP/SFTP 下载的数据上传到 BitTorrent 群。使用 Metalink 的块校验和，aria2 会在下载文件（如 BitTorrent）时自动验证数据块。

CVE-2023-39141

项目链接：

https://github.com/ziahamza/webui-aria2/

漏洞类型：

路径遍历

根本原因

https://github.com/ziahamza/webui-aria2/blob/109903f0e2774cf948698cd95a01f77f33d7dd2c/node-server.js#L10 接受来自 URL 输入的文件名，但没有将其清理到同一目录中。

概念证明：

当使用“node-server.js”时，攻击者可以简单地请求服务路径之外的文件
curl --path-as-is http://localhost:8888/../../../../../../../../../../../../../../../../../../../../../../etc/passwd

根本原因

攻击者可能读取 www 用户可以读取的任何文件。

www用户是一个低权限账户

漏洞分析

这是漏洞产生的那段js代码

var http = require("http"),
  url = require("url"),
  path = require("path"),
  fs = require("fs");
port = process.argv[2] || 8888;

http
  .createServer(function(request, response) {
    var uri = url.parse(request.url).pathname,
      filename = path.join(process.cwd(), "docs", uri);

    var extname = path.extname(filename);
    var contentType = "text/html";
    switch (extname) {
      case ".js":
        contentType = "text/javascript";
        break;
      case ".css":
        contentType = "text/css";
        break;
      case ".ico":
        contentType = "image/x-icon";
        break;
      case ".svg":
        contentType = "image/svg+xml";
        break;
    }

    fs.exists(filename, function(exists) {
      if (!exists) {
        response.writeHead(404, { "Content-Type": "text/plain" });
        response.write("404 Not Found\n");
        response.end();
        return;
      }

      if (fs.statSync(filename).isDirectory()) filename += "/index.html";

      fs.readFile(filename, "binary", function(err, file) {
        if (err) {
          response.writeHead(500, { "Content-Type": "text/plain" });
          response.write(err + "\n");
          response.end();
          return;
        }
        response.writeHead(200, { "Content-Type": contentType });
        response.write(file, "binary");
        response.end();
      });
    });
  })
  .listen(parseInt(port, 10));

console.log("WebUI Aria2 Server is running on http://localhost:" + port);

那我们来分析一下这段出问题的代码
filename = path.join(process.cwd(), "docs", uri);

process.cwd():

process.cwd() 是 Node.js 提供的一个内置方法，它返回当前进程的工作目录（current working directory）。也就是说，它返回的是你在执行该 Node.js 脚本时所在的目录的绝对路径。
比如，如果你在 /home/user/project 目录下运行脚本，那么 process.cwd() 会返回 /home/user/project。

path.join():

path.join() 是 Node.js 中 path 模块提供的一个方法，用来拼接文件路径。它的作用是将多个路径片段拼接成一个完整的路径，并自动处理不同操作系统上的路径分隔符（例如，Windows 上使用 \，Unix/Linux 上使用 /）。
这个方法非常有用，因为它能确保路径拼接是跨平台兼容的，不会因为不同操作系统的路径规则而出错。

"docs" 和 uri:

"docs" 是路径的一个部分，通常是一个文件夹名。
uri 是一个变量，它应该包含一个相对路径或文件名，表示在 "docs" 文件夹中的某个具体文件或资源的路径。

因此再加上--path-as-is，就会触发路径遍历的漏洞

 curl --path-as-is 是 curl 命令的一个选项，它的作用是禁用路径规范化。具体来说，这个选项告诉 curl 在处理 URL 路径时保持路径的原始形式，而不自动进行任何路径规范化（即不对路径中的 .. 和 / 等部分进行优化）。

总之来说这段代码就是将这三项拼接，但是并没有做任何的过滤，导致了目录遍历的存在，后面的代码就是回显给前端。
我们看一下漏洞复现，我成功的读取到了/etc/passwd敏感文件，我们甚至可以去读取到其他文件，比如apache tomcat的密码配置文件。